웹과 이메일이 APT 공격의 주요 통로로 자리잡고 있다. 악성 이메일 공격은 메일을 열어보기만해도 악성코드에 감염되도록 진화했으며, 웹사이트 방문자를 감염시키는 공격은 일회성 URL을 악성코드 유포지로 사용해 추적시스템을 무력화한다. 이러한 공격을 막기위해 게이트웨이 기반 보안 솔루션이 주목을 받고 있다. 더불어 웹방화벽, 시큐어코딩, 악성코드 탐지 기술 등 APT 공격 방어를 위한 다양한 기술이 다시 부상한다. 웹·이메일을 이용한 공격을 방어하는 다양한 기술을 살펴본다.<편집자>

지능형 지속위협 공격(APT)은 특정한 목표를 달성하기 위해 장기간 은밀하고 끈질기게 공격을 지속하는 것으로, 목표 조직의 취약점을 탐색한 후 이를 이용해 침투, 조심스럽게 목표 시스템으로 이동하는 과정을 거친다. 공격자가 이용하는 취약점은 임직원의 단말기, 관리가 잘 안되는 시스템이나 협력업체 시스템을 이용한다.

임직원의 단말기는 APT 공격에 가장 많이 이용되는 취약점으로, 이메일 첨부파일에 악성코드를 숨겨 발송하는 스피어피싱(Spear Phishing), 웹사이트 방문시 자동으로 악성코드가 다운로드되는 워터링홀(Watering Hole)/드라이브 바이 다운로드(Drive by Download)를 사용한다. 워터링홀은 타깃 집단이 자주 사용하는 웹사이트를 감염시키는 타깃공격이며, 드라이브 바이 다운로드는 불특정 다수가 이용하는 웹사이트를 감염시켜 공격하는 방식을 말한다.

APT 공격효과 가장 높은 스피어피싱

APT 공격 효과가 가장 높은 것은 스피어피싱이다. 공격자가 목표한 시스템에 접근하기 위해 가장 유리한 권한을 가진 사람에게 이메일을 보내 악성코드가 숨어있는 첨부파일을 실행시키도록 하는 방식을 택한다.

구글링을 통하면 어렵지 않게 타깃 사용자의 이메일 주소를 알 수 있으며, 사용자의 업무 특성을 이용해 업무와 연관있는 내용의 이메일을 보내면 사용자는 의심 없이 해당 메일을 열어보게 된다. 인사담당자에게 이력서를, 구매담당자에게 제품제안서를, 영업 담당자에게는 견적의뢰서를 보내는 방식이다.

지난해 발생한 한국수력원자력 자료유출사고는 ‘○○ 도면’ ‘견적서’ ‘시방서’, ‘송전선로 프로그램 관련’ 등의 내용으로 이메일을 보낸 것으로 확인됐다. 어떤 대기업은 주주들을 대상으로 ‘임원-주요주주 특정증권 등 소유상황보고서.pdf.exe’, ‘정보보안예산안.doc.exe’ 등의 문서파일을 가장한 실행파일이 배포된 바 있다.

지난해 호주에서 열린 G20 정상회의 참석자를 대상으로 ‘호주에서 열리는 G20의 주제는 무엇인가?’, ‘G20 경제장관공식행사’ 등과 같은 제목으로 스피어피싱 공격이 진행된 정황도 발견됐다. 정상 워드 파일을 가장한 메일의 첨부파일에는 정보를 유출하는 악성코드가 숨어있었다.

업무와 연관된 것으로 가장한 메일은 실제로 해당 기업에서 사용하는 문서양식과 동일하게 만들기 때문에 담당자가 의심 없이 첨부파일을 클릭하게 만든다. 초기 스피어피싱은 시스템 접근 권한이 있는 임원을 대상으로 공격했지만, 이제는 임원보다 보안 수준이 낮은 비서에게 임원 보고용 문서로 가장해서 이메일을 보내기도 하고, 외부 콘텐츠를 많이 접하는 마케팅·홍보 담당자를 노리는 경우도 많다. 본사보다 보안이 까다롭지 않은 계열사, 혹은 외부 협력업체를 통해 본사 시스템으로 침투하는 공격도 성행한다.

SANS 인스티튜트의 알렌 팰러 리서치 디렉터는 “엔터프라이즈 네트워크 공격의 95%는 성공적인 스피어피싱의 결과”라고 밝혔으며, ‘버라이즌 데이터 유출 보고서 2014’는 “20%의 사람들이 스피어피싱 이메일에 포함된 링크를 클릭한다”는 분석결과를 내놓았다. 인텔시큐리티는 HR과 파이낸스 담당자의 88%는 하나 이상 스피어피싱 이메일을 클릭한 적이 있다고 설명했으며, 우리나라에서도 미래창조과학부가 악성코드 유포채널이 이메일 중심으로 변화했다는 분석을 발표했다.

메일 열기만 해도 악성코드 감염

퇴직자 계정으로 메일이 발송된 한수원 자료유출사고의 경우처럼, 발신자명이 실제로 존재하고, 신뢰할만한 조직이나 개인을 사칭하기 때문에 발신자 이름이나 계정만으로 악성메일 여부를 판단하기 어렵다.

첨부파일에 악성코드를 숨기는 방법도 진화하기 때문에 바이러스 백신만으로 탐지하기 어렵다. 초기 스피어피싱은 메일 본문에 악성링크를 삽입하는 방법을 사용했으며, 보다 진보된 경우는 exe 첨부파일을 첨부해 실행하도록 했다. 지금은 정상적인 문서파일을 위장하는데, MS 오피스, 한컴오피스, PDF 등으로 위장한다.

윈도우7 사용자들은 알려진 확장자를 숨기는 옵션을 사용하기 때문에 악성코드 실행파일 확장자가 감춰진 채 ‘OOO.docx’, ‘XXX.hwp’ 등과 같은 파일명만 보이게 할 수 있다. 악성코드가 실행파일(PE: Portable Executable)의 형태가 아니라 비 실행파일(Non-executable File) 형태로 나타나기 때문에 탐지가 더 어려울 수 있다.

샌드박스에서 첨부파일 문서를 미리 열어보고 악성행위가 나타나는지 살펴보는 이메일 보안 솔루션을 우회하기 위해 첨부파일을 열어 일정부분까지 읽어내려가면 악성코드가 실행되는 형태도 발견된다. 가상환경에서 열어보는 것인지, 실제 사람이 열어보는 것인지 인지한 후 악성코드가 활성화 되도록 설계한 것이다.

구자만 포티넷코리아 이사는 “그동안 스피어피싱은 첨부파일을 열어봐야 악성코드가 실행되는 방식이었지만, 이제는 이메일을 열어보기만해도 감염되는 공격이 나타난다. 이메일은 실제 사용하는 메일 계정과 유사하게 만들고 업무와 연관 있는 내용으로 위장하기 때문에 사용자가 구분하기 매우 어렵다”며 “사용자에게 메일이 도달하기 전에 메일의 위험여부를 알 수 있는 시스템이 필요하다”고 설명했다.

현재 메일보안 솔루션은 대부분 스팸메일을 걸러내는 수준이며, 교묘하게 정상메일로 위장한 것을 차단하기 어렵다. 문서파일에 숨어있는 악성코드를 찾아내는 메일보안 솔루션의 경우, 지원하는 문서의 종류에 한계가 있고, 특정 버전에서만 활동하는 악성코드가 발생할 경우 찾아내기 어렵다는 문제가 있다. 이를 해결하기 위해서는 모든 문서 편집 프로그램과 버전을 모두 지원해야 하는데, 이럴 경우 시스템 성능 문제와 분석에 많은 시간이 걸린다는 점이 지적된다.

웹사이트 방문만해도 악성코드 감염

최근 APT 공격 수법으로 빠르게 확산되고 있는 것이 드라이브 바이 다운로드, 혹은 워터링홀이다. 웹사이트에 방문하기만해도 악성코드가 다운로드되는 이 공격은 관리가 잘 이뤄지지 않는 사이트를 대상으로 공격이 진행돼왔다. 언론사 홈페이지가 가장 악명높은 악성코드 유포지로 꼽히고 있으며, 유명 인터넷 커뮤니티 등 방문자가 많지만 관리가 제대로 되지 않은 사이트도 악성코드 유포지로 사용돼왔다.

불특정 다수를 대상으로 공격하는 드라이브 바이 다운로드는 웹페이지의 취약점을 이용해 악성코드를 직접 심거나 악성링크를 숨겨 방문자 PC에 다운로드 된다. 악성코드는 사용자 PC의 취약점을 이용하는데, 어도비 플래시, 자바, PDF, 문서편집 프로그램 등 일상적으로 사용하는 프로그램의 보안 패치 업데이트가 제대로 이뤄지지 않은 PC가 공격대상이다.

버라이즌 보고서에서 “크라임웨어의 81%가 드라이브 바이 다운로드로 멀웨어를 배포한다”고 설명할 정도로 웹사이트를 통한 공격이 전 세계적으로 심각한 문제가 되고 있다. PC에 다운로드된 악성코드는 PC 내의 중요정보를 유출해가는데, 공인인증서, 보안카드, 계좌번호, 비밀번호 등 금융정보를 탈취하며, 기존에 입수한 개인정보와 매칭하면서 고급 개인정보를 만들어 재판매하거나 직접 사용자 계좌에서 돈을 빼간다.

타깃 집단을 노리는 워터링홀은 타깃 사용자의 PC에 침투한 후 중요정보를 빼내가고, 사용자 계정을 탈취하며, 백도어를 만들어 공격자가 시스템 내부로 침입할 수 있도록 한다.

웹사이트를 이용한 공격은 웹 관리자가 철저한 보안정책을 수립한다고 해서 해결되는 일은 아니다. 기본적으로 웹은 거의 제한 없이 접속할 수 있는 공간으로, 난독화가 적용되지 않은 사이트라면 취약점은 쉽게 찾아낼 수 있다.

잘 관리된 웹사이트라해도 페이지에 추가된 광고배너 등 외부 콘텐츠에 의해 악성코드가 유포될 수 있다. 광고배너는 영세한 에이전시를 통해 제작하는 경우가 많은데, 이들은 공개된 배너제작 소스를 이용하기 때문에 취약점이 이미 공개돼 있는 것이나 마찬가지다. 일부 악의적인 기획사는 공격자와 손잡고 악성코드나 악성링크를 숨긴 채 납품하는 경우도 있다.

초기에는 웹페이지에서 직접 악성코드를 심었지만, 이제는 악성링크를 교묘하게 숨겨 리다이렉트를 통해 악성코드가 다운로드되도록 한다. 악성링크는 수많은 경유지를 거치게 되며, 최종적으로 악성코드가 유포되는 사이트는 관리가 거의 이뤄지지 않은 버려진 웹사이트를 이용한다. 기간이 지난 이벤트 페이지, 오래 전 서비스가 중단된 웹사이트, 비밀번호 발급 등을 이용해 임시로 개설된 사이트 등이 주로 이용된다.

임시로 개설된 사이트는 ‘원데이원더’라고 불리며, 만들어진지 하루만에 사이트가 사라지기 때문에 유포된 악성코드의 진원지를 추적하는 시스템을 무력화할 수 있어 최근 공격에 가장 많이 사용된다.