“시그니처 방식의 안티 바이러스만으로는 APT 대응에 한계”

[보안뉴스 김태형] “APT 공격은 하나의 특정 솔루션으로 막을 수 없습니다. 기업·기관 환경에 가장 알맞게 최상의 방위책을 마련해야 합니다. 기존에는 보통 PC단에서 방어를 많이 했지만 이제는 네트워크 단에서 APT 공격의 침투 차단을 해야 합니다. 또한, APT 공격은 백신이 탐지하지 못하는 제로데이 공격이나 악성코드를 이용한 침투가 많습니다. 이에 다각적이고 지속적인 보안 진단을 통해 사전 방어체계를 구축해야 합니다.”

홍진천 시만텍코리아 부장은 ‘2012 교육·연구기관 정보보호 컨퍼런스’에서 ‘최신 APT 공격동향 및 효과적인 대응전략’이라는 주제 발표를 통해 이같이 말했다.

홍진천 부장은 “표적 공격은 표적으로 삼은 기업 또는 조직에 침투하기 위해 정교한 맞춤형 악성코드와 인간의 심리를 공략하는 사회공학적 기법을 이용하고, 공격 성공률을 높이기 위해 공격 대상자를 사전에 조사·분석한다”면서 “반면에 APT 공격은 보다 장시간에 걸쳐 스파이활동을 수행하는 고도의 표적공격으로 주로 정부나 산업의 중요 정보와 시스템을 겨냥한다”고 둘의 차이점을 설명했다.

특히, APT 공격은 주요 공격수단으로 표적공격을 이용하며, 이 밖에 드라이브바이 다운로드(Drive-by-downloads), SQL 인젝션, 악성코드, 피싱, 스팸 등 다양한 공격 기법들을 종합적으로 이용한다는 것.

그에 따르면 APT 공격은 항상 표적 공격이지만 표적 공격이라고 항상 APT는 아니고 주로 봇넷을 이용한다는 것이다.

홍 부장은 “APT 공격의 특징은 정확한 목표 설정과 고도의 지능적 공격기법, 그리고 지속적인 공격을 통해 침투, 내부 시스템 및 인프라 구조를 검색해 정보를 수집하고 시스템 운영을 방해하며, 공격자의 근거지로 데이터를 빼내간다”고 밝혔다.

이에 그는 “더 이상 시그니처 방식의 안티 바이러스만으로 대응에 한계가 있다”면서 한가지의 기술로 APT를 방어할 수 있다거나 알려지지 않은 멀웨어 방어만으로 APT 공격에 대비할 수 있다는 것은 오해이며, 멀웨어는 단지 APT 공격의 하나의 요소일 뿐으로 가장 핵심적인 대응은 최신의 심층적인 방어“라고 강조했다.

“가장 효과적인 APT 방어전략으로 우선 시스템을 네트워크 환경과 엔트포인트 영역으로 나누어서 네트워크 기반의 APT 활동을 진단하고, 봇넷 등 웹을 통한 악성 활동 진단을 통해 좀비 PC 및 신종 악성파일을 치료하며 실시간으로 탐지된 악성 행위를 차단해야 한다”고 홍 부장은 말했다.

덧붙여 그는 “URL 접근제어, 악성코드 콘텐츠 검사, 감염된 엔드포인트 탐지 등 지속적인 보안진단을 통한 사전방어 체계를 구축해야 한다”고 강조했다.

[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>