지능형지속위협(APT) 공격은 알려지지 않은 악성코드를 통해 진행되는 경우가 많으며, 이러한 공격을 막기 위해 샌드박스가 유용한 기술로 평가받는다. 그러나 APT는 목표를 달성하기 위해 모든 수단을 동원하는 공격으로, 악성코드만으로 공격하는 것은 아니고 기존에 알려진 공격방법을 사용하고, 대규모 DDoS 공격과 함께 진행되기도 한다. APT 방어를 위해서는 공격 단계별로 대응할 수 있는 체계를 마련해야 한다. [구자만 포티넷코리아 이사]
APT가 국내외에서 논란이 되고, 관련 솔루션들의 마케팅이 본격화된 지도 2~3년 지났다. SCADA 시스템에 대한 스턱스넷(STUXNET) 공격 등 APT라 부를 수 있는 위협은 이전에도 존재했으나 기업 및 기관들이 실제 정보보안에서 하나의 중요한 위협 요소로 생각하게 된 것은 최근이라고 보는 것이 타당하다.
해외에서는 지속적인 지능형 위협을 의미하는 APT라는 용어보다 하나의 기업 및 기관을 타깃으로 하는 공격이라는 의미로 ‘ATA(Advanced Targeting Attack)’라는 용어를 사용하면서 국내에서도 ATA로 명명하는 경우도 최근 자주 보이고 있다.
국내 기업에서 APT에 대한 관심이 높아지게 된 계기는 2011년 카드사 및 포털 사이트의 개인정보 유출사고로 시작해 2013년 금융권, 언론사의 임직원 PC에 대한 공격이 감행됐던 3·20 사이버테러가 정점이었다. 이러면서 APT 위협대응은 모든 기업 보안 담당 부서의 최우선 과제가 됐다.
그만큼 APT에 대한 관심도가 높아져있지만 문제는 아직도 APT를 단순한 알려지지 않은 악성코드(Unknown Malicious Code)에 의해 진행되는 공격으로 알고 있고, 이에 대한 방어 솔루션으로 샌드박스 솔루션 하나면 된다고 알고 있는 사람들이 많다. 이는 APT에 대한 매우 심각한 오해로, APT에 제대로 대응하지 못하게 하는 요인이 될 수 있다.
APT 공격의 다변화
지난해 3·20 사이버테러 당시와 그 이전·이후 대부분의 공격 대상은 임직원의 PC를 타깃으로 공격이 감행됐다. 이에 보안 담당자들은 기업의 PC를 관리하기에 바빴고, 대응 방안으로 망분리 등이 거론되기도 했다. 그러나 타깃은 점점 다양한 디바이스로 향하기 시작했고, 특히 망분리의 쟁점에서 벗어나 있는 모바일 단말에 대한 공격 시도가 잇따르고 있다.
올해 상반기 포티가드 연구소의 APT 공격 동향에 따르면 모바일용 악성코드가 급속히 증가했고, 악성코드의 유형 또한 봇넷 뿐만 아니라 리스크웨어(Riskware), 루트킷(Rootkit), 드로퍼(Dropper), 인젝터(Injector) 등 다양한 공격 기법을 포함한 악성코드들이 발견되고 있다.
이중 대부분은 안드로이드 운영체제를 타깃으로 한다. 물론 모바일 기기를 기업 네트워크에 액세스하지 못하게 하는 방법이 가장 안전한 대책이지만 최근 협업과 소통을 강조하는 기업 문화에 맞춰 모바일 기기를 기업 내에서 사용하지 못 하게하는 방법은 설득력이 떨어진다. 모바일 기기를 업무에 활용하면서 보안 대응책을 모색해야 할 것이다.
스마트폰, 태블릿뿐 아니라 사물인터넷(IoT) 또한 새로운 위협의 대상이 될 것이 자명한 일이므로 이에 대한 보안 대비책도 염두에 둬 야 할 것이다. 2014년 7월 기준 포티가드 연구소에서 모바일 위협 순위를 조사한 결과 1위부터 5위까지 모두가 안드로이드 기반의 운영체제를 대상으로 하고 있다.
2014년 APT 공격의 특징을 보면 공격 대상 기관 및 기업을 세분화해 치밀한 준비를 세우고 공격을 감행한다는 것이다. 이미 기사화됐던 내용이지만 잠수함, 탱크 등을 생산하는 국내 국방 산업을 대상으로 하는 공격은 유출된 자료의 문서명만 보더라도 얼마나 치밀하게 준비를 하고 자료 유출을 시도했는지 극명하게 보여주는 사례라 할 수 있겠다.
현재 이들 기관은 APT 공격에 대한 대응 방법을 다각도로 준비하고 있다. 예를 들어 스피어피싱 메일에 대한 보안을 강화하고자 단순 스팸 차단 솔루션이 아닌 메일 내 첨부파일을 AV엔진을 통해 검사하거나, 평판 DB를 활용해 C&C IP, URL, 스패머들로부터의 메일을 원천봉쇄하고 있다. 또한 외부 메일과 내부 메일을 분리해 정책을 수립하고, 메일 첨부파일에 대한 샌드박싱, DLP 기능까지 적용하고 있다. 물론 물리적 보안 수준은 이전보다 한층 강화된 상태다. 그러나 국방 산업을 포함한 기간 시설외에도 온라인 기업을 대상으로 하는 공격 사례는 지속적으로 발견되고 있다.
최근 APT 공격의 특징 중 하나는 하나의 기업만이 대상이 아닌 동종 업계 두세 가지 서비스를 동시에 타깃으로 하는 코드를 생성하고, 동시에 공격을 감행해 보안 수준이 미비한 기업의 서비스를 어뷰징하려는 시도가 늘고 있다는 것이다.
해당 악성코드를 분석해보면 난독화를 통해 공격을 은닉하려는 시도가 많이 보이고 있고, C&C와 통신도 단축 URL로 시도해 IP 평판 기반 차단 기술로부터 회피하려는 움직임을 많이 보이고 있다. 해당 코드를 면밀히 분석해 보면 동종 업계의 서비스에 대한 리스트를 확인 할 수 있으며, 이를 토대로 동종업계 보안 부서의 공조 체계가 갖춰진다면 정보를 공유해 다양한 위협으로부터 공동 대응이 가능하지 않을까 생각하는데, 실제 가능할지는 모르는 일이다.
APT에 대한 오해와 진실
이미 대부분의 보안담당자들은 APT 솔루션 기업의 마케팅에 현혹돼 있다. APT 위협을 단순히 알려지지 않은 악성코드인 것으로 판단하고, 이에 대한 솔루션은 샌드박스로 충분히 대응할 수 있다는 가정으로 정보보호 관리체계를 수립하고 있다. 이는 상당히 위험한 논리다. APT 위협은 악성코드 하나만 있는 것이 아니라 실제 악의적인 의도를 가진 임직원이 될 수도 있으며, 보안의 테두리에서 벗어나 방치된 데이터센터 내 WAS 서버가 될 수도 있기 때문이다.
샌드박스 솔루션은 APT 대응을 위한 충분히 훌륭한 솔루션이다. 그러나 전반적인 APT 대응 체계를 갖추는데 필요한 요소일 뿐이지 전부는 아니다. 샌드박스 솔루션을 운영하는 기업에서도 실제 APT 공격 징후를 탐지했던 케이스는 샌드박싱을 통한 탐지가 아닌 외부 C&C와 커뮤니케이션 단계에서의 탐지가 대부분을 차지하고 있다는 것이 이를 뒷받침한다.
두 번째로는 안티바이러스(AV)의 역할에 대한 오해다. AV 무용론까지 대두되고 있는데, APT 위협이 출몰하면서 알려진 악성코드에 대한 대응이 필요 없다는 논리가 제기되고 있다.
이러한 주장은 APT 악성코드를 만드는 해커든 일반 불특정 다수를 대상으로 악성코드를 제작하는 해커든 그들을 도와주는 논리일 수밖에 없다. 실제 AV 엔진은 진화를 거듭해 2세대, 3세대 AV 엔진은 시그니처만으로 악성코드를 탐지하지 않는다. 휴리스틱 엔진 등 다양한 판단 방법이 포함되고, 악성 IP와 악성 URL까지 참조하면서 변형된 변종 악성코드까지 탐지할 수 있는 수준의 엔진으로 이미 발전돼 있다.
APT 악성코드를 보면 한두 개의 악성코드가 아닌 10여 개의 악성코드를 조합으로 공격이 감행되는데, 대부분 기존에 이미 나와있던 악성코드를 변형해 만든 코드들이 많기 때문에 AV를 통해서도 완화에 도움이 된다. 실제 3·20 사이버 테러에서 사용된 MBR을 파괴했던 악성코드 역시 기존에 랜섬웨어로 사용되는 등 악성코드를 변형해 제작된 코드다.
마지막으로 또 하나의 오해는 샌드박싱을 통하면 악성코드, 스크립트 행위 등 모든 것을 탐지할 수 있다고 믿는 것이다. 샌드박싱 솔루션은 수십 개의 가상머신을 활용해 실제 파일을 실행시켜 악성코드 유무를 탐지한다. 일반 기업의 운영체제 및 애플리케이션을 모두 커버하기 어려운 부분이다.
샌드박스는 APT 대응 체계 구축에 있어서 운영하면 도움이 되는 솔루션이다. 그러나 커버리지가 제한돼 있으며, 이를 벗어나는 위협들에 대한 대응 방법론을 필수로 준비해야 한다. 좋은 솔루션을 운영하면서 모니터링을 게을리하지 말아야 하며, 솔루션(기술적 보안) 이외의 관리적 보안 역시 강화해야만 제대로 된 APT 대응 체계 수립 목표라 할 수 있겠다.
APT, 아는 만큼 선제 대응할 수 있어
대기업을 제외하고 대부분 기업/기관의 보안담당자들은 APT 대응을 위한 다양한 공격 기법에 대해 전문지식을 갖기 어렵다. 중견 규모 이상의 기업이라도 보안 담당자가 시스템 담당, 네트워크 담당, 심지어 DB 담당까지 겸하고 있는 경우가 많기 때문에 인력 리소스에 대한 여력이 충분하지 않다.
APT 위협이 됐던 어떠한 위협이라도 마찬가지인데, 알면 알수록, 신경을 쓰면 쓸수록, 공부를 하면 할수록 정보보호 체계를 공고히 하는데 도움이 된다. 특히 APT 위협에 대응되는 기법들은 네트워크 보안만을 전문으로 했던 담당자들에게는 어려울 수밖에 없는데, 그래도 필수적으로 봇넷, 백도어, 루트킷, 드로퍼, 다운로더, 인젝터 등의 공격 기법은 정확히 알고 있어야 효과적인 대응 전략을 수립할 수 있다.
또한 공격 경로에 대해서도 시나리오 별로 대응 전략을 고민해보고 수립해 볼 수 있다. 특히 최근 융복합 보안, 물리적 보안에 기업들이 신경을 많이 쓰면서 기존에 총무팀 등에서 관리되는 CCTV, 스피드게이트 등이 정보보호 부서의 관리하에 들어오면서 동선을 고려한 CCTV 설치 및 정보보안 관점의 물리적 보안 체계를 수립하는 경우가 많이 생겨나고 있다. 이제는 보안담당자들도 도면을 볼 줄 알아야 하며, 방제 시스템 및 출입 통제 시스템을 이해할 수 있어야 한다는 이야기다. 그만큼 보안담당자들에는 계속되는 숙제가 늘어나지만 이 또한 기업 및 기관은 보안을 위해서는 꼭 필요하다.
기업이 직접 프레임워크 수립
필자는 보안 아키텍처의 업무 상 기업 및 기관을 상당히 많이 방문하고 보안담당자 및 보안 관리 임원들을 만나며 대화를 자주하고 있다. 최근 들어 느끼는 점은 이제 기업의 보안 수준이 상당히 올라가서 직접 자신들만의 보안 프레임워크를 수립하는 기업들이 많이 늘어났다는 것이다.
APT 역시 정보보호의 축에서 상당히 비중 있는 위협 요소로 생각하고 있으며, 별도의 대응 전략 및 프레임워크를 수립하고 있다. 이미 몇몇 기업의 APT 대응 체계를 수립하는데 컨설팅을 했던 사례에서 필자는 APT 대응 라이프사이클(ADLC)이라는 용어를 사용했다. 소프트웨어 개발 라이프사이클(SDLC) 상에서의 정보보호 개입 요소를 컨설팅 하던 내용을 참고해 ADLC라는 프레임워크를 수립할 수 있게 컨설팅을 했는데, 이러한 부분은 기업에서도 크게 공감하고 있는 부분이다.
APT에 대응하기 위한 예방, 탐지, 방어, 사후 대응 프로세스라는 사이클을 보면서 요소요소마다 대응 방안을 수립하고 관리하는 것이 프레임워크의 목표다.
이제는 어떠한 침해사고 및 APT 이슈가 나오더라도 기업에서는 APT 사고 내용 및 현황을 분석하고, 자사의 정보보호 현황에 미치는 영향을 다각도로 분석해 정보보호 중장기 계획을 재수립한다.
정보보호 관리 체계는 고도화되지만 ‘뛰는자 위에 나는자 있다’라는 말과 같이 악의적인 목적을 가진 해커들은 방어를 공고히 할수록 또 다른 수단과 방법을 개발해 지속적으로 보안을 위협할 것이다. 보안은 하면 할수록 어렵게 느껴진다. 그러나 좋은 솔루션을 제대로 운영하며, 모니터링을 게을리하지 않고, 정보보호 관리체계 통제항목을 성실히 수행한다면 APT 역시 대응하지 못할 일이 없을 것이다.
