[보안뉴스 김정완] 특정 기업을 노리는 사이버 표적 공격이 기업 규모에 상관없이 광범위하게 확산되고 있는 가운데 시만텍이 표적 공격을 포함하는 최신 보안 위협 동향과 이에 대응하기 위한 해법을 제시했다.

최근 모바일 기기 사용자 확대, 기업의 클라우드 및 가상화 도입 확산, 디지털 정보 급증과 같은 메가 트렌드의 영향으로 IT 환경이 급변하면서 보안 위협 환경 또한 더욱 복잡하게 진화함에 따라 효과적인 기업 보안 기술을 적용하기가 점점 더 어려워지고 있다.

특히 표적 공격에서 한발 더 나아가 특정 기업이나 조직 네트워크에 침투, 활동 거점을 마련한 후 기밀정보를 수집해 지속적으로 빼돌리는 보다 은밀한 형태의 표적 공격인 ‘지능적 지속위협(APT, Advanced Persistent Threat)’이 새로운 보안 위협으로 대두되고 있는 상황이다.

이 같은 APT 공격은 ‘불특정 다수’가 아닌 ‘특정한 목표’를 겨냥한다는 점에서 기존 해킹과 구별되며, 전형적인 표적 공격과 달리 표적으로 삼은 조직 네트워크에 침투해 오랫동안 잠복하면서 기밀정보를 빼내도록 설계된다. 기관총을 쏴대는 무차별적 공격이 아니라 치밀한 사전 준비를 거친 스나이퍼형의 지능적·차별적·지속적 공격인 셈이다.

시만텍은 APT 공격이 △고도의 지능적인 보안 위협을 동시다발적으로 이용하고 △목표 시스템에 활동 거점을 마련한 후 은밀히 활동하면서 보안 공격들을 지속적으로 가하며, △주로 국가간 첩보활동이나 기간시설 파괴 등 공격 동기가 뚜렷하고 △공격 대상도 주로 정부 기관이나 국가 핵심 기간시설, 방위 산업체 등을 노린다는 점에서 일반적인 표적 공격과 차별화되기에 그만큼 더 위험하다고 지적한다.

시만텍 분석에 따르면 일반적으로 APT 공격은 표적으로 삼은 조직으로의 침투, 침투 후 정보 검색, 목표한 정보 수집 및 정보 유출의 4단계로 실행되며, 각 단계별로 다양한 공격 기술을 사용한다.

◇ 1단계 침투(Incursion): 일반적으로 표적 공격시 해커들은 훔친 인증정보, SQL 인젝션, 표적 공격용 악성코드 등을 사용하여 목표로 삼은 기업이나 조직의 네트워크에 침투한다. APT도 이러한 공격 방법들을 사용하지만 공격 성공률을 높이기 위해 사전 공격 목표 분석, 사회 공학적 기법 활용, 제로데이 취약점 및 루트킷 적용, 수동 공격 등을 이용한다.

◇ 2단계 검색(Discovery): 한번 시스템의 내부로 침입한 공격자는 기관 시스템에 대한 정보를 수집하고 기밀 데이터를 자동으로 검색한다. 침투로 인해 보호되지 않은 데이터나 네트워크, 소프트웨어나 하드웨어, 또는 노출된 기밀 문서, 추가 리소스 등의 경로가 탐색될 수 있다. 대부분의 표적 공격은 기회를 노려 공격을 하지만, APT 공격은 보다 체계적이고 탐지를 회피하기 위해 엄청난 노력을 기울인다.

◇ 3단계 수집(Capture): 수집 단계에서 보호되지 않은 시스템에 저장된 데이터는 즉시 공격자에게 노출된다. 또한, 조직 내의 데이터와 명령어를 수집하기 위해 표적 시스템이나 네트워크 액세스 포인트에 루트킷이 은밀하게 설치될 수 있다.

◇ 4단계 제어(Control): APT 공격의 마지막 단계로, 불법 침입자들은 표적 시스템의 제어권을 장악한다. 이 단계를 통해 공격자들은 지적 재산권을 포함해 각종 기밀 데이터를 유출하며, 소프트웨어 및 하드웨어 시스템에 손상을 입힐 수도 있다.

APT 공격을 막기 위해서는 먼저 기존의 보안 인프라가 갖는 한계를 넘어서 정보 주변을 둘러싼 시스템이 아닌 정보 자체를 보호하는 정보 중심의 보안 전략을 고민해야 한다.

정보 중심의 보안 전략은 한마디로 보호해야 할 중요 정보가 어디에 저장돼 있고, 누가 접근 가능한지, 어떻게 보호되고 있는지를 파악해 ‘디지털 정보 지도’를 작성하는 것이다. 이를 위해 보호해야 할 정보가 무엇인지 정의(Define)하고, 검색(Discover)하고, 해당 정보의 사용을 통제(Control)하는 정보보호 프로세스를 마련해야 한다.

이와 함께 ▲평판(reputation) 기반 보안 기술 ▲데이터 유출방지(Data Loss Prevention) 솔루션 ▲보안 정보 및 이벤트 관리(SIEM) ▲정보저장소 보안강화 ▲애플리케이션 계층에서 위험한 파일 형식 차단 등 다각도의 정보보호 체계를 갖춰야 한다.

다양한 악의적 공격과 활동을 효과적으로 차단하기 위해 기업 내부의 사용자가 인터넷을 사용할 때 웹에서 악성코드 검사를 수행하도록 강제하는 ‘사전 방역’과 네트워크 상의 모든 트래픽을 검사해 일반적인 봇트래픽 패턴을 탐지하고 활성 봇넷을 차단하는 한편, 감염된 PC를 즉각 격리하는 ‘사후 차단’의 역할도 중요하다. 이를 통해 각종 사이버 공격의 네트워크 유입을 사전에 차단하고, 만일 유입되더라도 지속적인 탐지 및 모니터링을 통해 악성활동을 차단, 보안 위협을 최소화 할 수 있다.

진화하는 사이버 보안 위협에 대응해 평판 기반과 같은 새로운 보안 신기술 도입도 필수적이다. 공격용 툴킷의 확산과 악성코드 변종의 범람으로 인해 전통적인 시그니처 기반의 보안 솔루션으로는 각종 보안 위협에 대응하기가 점점 더 어려워지고 있기 때문이다.

마치 사용자들의 평판을 기반으로 맛집 순위를 매기듯이 평판 기반의 보안 접근법은 전세계 사용자들의 ‘대중의 지혜’를 모아 프로그램마다 평판을 전산화하며, 극소수의 사람들이 가지고 있는 프로그램을 다운로드하고자 할 경우 이를 제지하고 최상의 선택을 권고한다. 결국 그러한 극소수의 프로그램들은 매우 전문적인 소프트웨어이거나 임의로 생성된 바이러스일 것이기 때문이다.

마지막으로 직원 보안 교육을 강화해야 한다. 아무리 좋은 시스템과 보안 솔루션을 구축한다 하더라도 결국 이를 운용하는 것은 사람이고, 확고한 보안 인식이 갖춰지지 않는다면 보안 사고는 언제라도 일어날 수 있다.

한편 이와 관련 시만텍 아태 및 일본지역 전략 세일즈 그룹의 비욘 엥겔하르트(Bjorn Engelhardt) 부사장은 “사용자를 속이고 정보를 빼돌리는 보안 위협이 그 어느 때보다 정교해지고 있는 만큼 기업들은 적절한 보안 정책구현과 평판 기반의 보안 신기술 도입 등을 적극 검토할 필요가 있다”며, “더불어 불의의 사태에 대비해 비상 훈련을 하듯 보안 가이드라인을 마련하고 정기적으로 인터넷 안전 및 각종 보안 위협에 관해 직원교육을 실시해야 최신 보안 위협을 최소화할 수 있다”고 강조했다.

[김정완 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>