교육·모의훈련 통한 보안의식 제고 및 다각적인 선제적 대응이 중요

[보안뉴스 김태형] 최근 지속적인 위협이 되고 있는 APT 공격에 대한 감염PC 탐지방안, 사후대응활동, 악성 이메일 차단, 악성코드 유포사이트 대책 등의 현실적이고 실무적인 방안에 대한 논의가 이루어진 자리가 마련됐다.  

제16회 해킹방지워크샵에서 진행된 패널토의에서는 ‘APT와 정보유출 방지 실태 및 대책’이라는 주제로 APT 공격 유형과 방어대책에 대한 다양한 의견이 나왔다.

이날 패널토의에는 류재철 충남대 교수가 좌장을 맡아 진행했고 전길수 KISA 팀장, 이용균 이글루시큐리티 전무, 윤광택 시만텍 이사,  홍관희 넥슨 실장이 패널로 참여했다.

먼저 윤광택 이사는 “APT 공격을 표적공격 대상 중에서 오랜기간 동안 새로운 기술을 바탕으로 한 악성코드 활용 공격”이라고 정의하며, “APT는 표적공격의 일부분이지만 표적공격이라고 모두 APT 공격은 아니”라고 설명했다.

이로 인해 시간이 지난 후에야 APT 공격인지 아닌지를 판단할 수 있다는 것. 즉 APT는 특정 타깃을 대상으로 장기적인 관점에서 특정 기간동안 탐지되지 않기 위해 지속적인 노력을 한다는 게 윤 이사의 설명이다. 또한, 공격의 성공률을 높이기 위해 다중 Kill Chain을 포함하고 있으며, 탐지를 우회하기 위한 기법을 사용하면서 고도화된 조직과 기술을 보유하고 있는 것이다.

이러한 APT 공격은 ‘침투-탐색-수집-유출’ 등의 단계로 이루진다. 침투는 공격자가 취약한 시스템이나 직원들을 악성코드에 감염시킨다. 초기감염은 ‘Spear Phishing’ 즉 관심있는 사람에 이메일을 보내거나 공격대상이 좋아할 만한 웹사이트를 먼저 감염시킨 후 그들이 올 때까지 기다린다.

그리고 탐색은 침투한 내부 시스템 및 인프라 구조에 대한 정보를 수집한 후 다음 단계를 계획하고 보호되지 않은 시스템상의 데이터를 수집해 유출단계에서 이를 분석하고, 추가 공격 시기를 정해 정보를 유출하는 과정을 거치게 된다.  

이러한 APT공격의 방어전략으로 홍관희 넥슨 실장은 “넥슨의 경우 이러한 보안 침해 사고 및 APT 공격 예방을 위해 보안인식 제고에 포커스를 맞추고 있다”며, “특히, 퇴근 시 PC를 끄고 가는 등의 생활보안 수준 향상에 중점을 두고 실천하고 있다”고 설명했다.

또한, 그는 보안패치, 즉 소프트웨어 업데이트를 중요하게 생각하고 있으며 자동 업데이트에 대한 부분은 100% 안전하지 않고 믿을 수 없기 때문에 자체적인 검증 후 배포하는 것이 바람직하다고 말했다.

아울러 이메일이나 웹보안, 그리고 비정상 행위 및 로그 분석과 관련된 보안 솔루션의 커스터마이징을 통한 효율적인 운영도 중시한다는 것. 특히, PC, 서버, 네트워크 등의 각 단계별로 보안체계를 수립하고 보안위협에 대응해야 한다고 홍 실장은 덧붙였다.

전길수 팀장은 “보안교육과 인식 제고는 기업 내 최고관리자의 의지나 역량에 따라 크게 변화될 수 있다. 이를 위해 KISA 아카데미에서 일반인부터 경영진까지 단계별 보안교육을 지속적으로 진행하고 있다”고 말했다.

모의훈련 사례나 방법을 묻는 질문에 대해서 홍관희 실장은 “넥슨의 경우 소셜커머스, 가짜백신, 공인인증서 등을 대상으로 모의 훈련 시나리오를 구성해 모의 훈련을 하고 있다” 며, “모의 훈련은 회사로 침투할 수 있는 다양한 공격유형에 따라 시나리오를 구성해서 진행하면 좋다”고 답했다.

또한, 좌장을 맡은 류재철 교수는 “모의 훈련에 대한 평가를 바탕으로 명확한 상벌 규정을 정해놓고 그룹별로 진행하는 것도 좋은 방법이 될 수 있을 것”이라고 덧붙였다.

소프트웨어 자동업데이트와 관련해서 전길수 팀장은 “자동 업데이트가 완전하지는 않지만 자동 업데이트를 하기 때문에 어느 정도 보안 패치가 되는 것”이라며, “이에 대해서는 자체적인 검증을 통해 진행하는 것이 필요하다”고 말했다.

이용균 전무는 “각 기관과 기업마다 보안관리 정책이 있을 것이다. 소프트웨어 업데이트도 이러한 보안관리 정책에 따라 탄력적으로 운영하는 것이 더 중요하다고 생각한다”고 말했다.

한 참관객은 “국내 소프트웨어 제작업체들이 적절한 수준의 보안대책을 강구한 상태에서 개발하고 있는지 궁금하다”면서 “일례로 국내 소프트웨어는 난독화 등이 되어 있지 않아 소스코드 구조를 너무나 쉽게 파악할 수 있는 문제가 있다”고 물었다.

이에 대해 류재철 교수는 “이러한 문제를 해소하기 위해 행안부에서 ‘SW 개발보안 ’ 제도를 마련해 공공기관에 대해서는 이를 의무화하도록 하는 등 소프트웨어 개발에 대한 보안을 강구하고 있다”고 답했다.

또한, 전길수 팀장은 “정부차원에서 보안 취약점을 패치하고 제거해 나가자는 취지로 보안취약점을 발견해 신고하면 포상하는 정책을 시행하고 있다. 이러한 정책은 자사 제품에 대해 책임질 수 있는 환경을 마련하기 위한 것이며, 취약점 신고에 대한 인식 변화를 위한 노력”이라고 말했다.

이 외에 웹과 이메일 보안문제에 관련해 이용균 전무는 “‘의심스러운 메일을 열지 말라’는 말은 너무도 무책임한 말이다, 이메일이 의심스러운 메일인지 아닌지 알 수 있는 방법이 없다”면서 “이러한 문제를 해결하기 위해 메일을 메일서버로 보내기 전에 가상의 윈도우에서 악성코드 여부를 분석해 메일서버로 보내는 솔루션도 있다”고 설명했다.

이와 관련 윤광택 이사는 “APT 공격은 보통 실행파일 형태로 들어오는 것이 아니라 문서파일로 들어온다. 이메일에 실행파일이 있으면 악성코드인지 알 수 있는데 문서파일은 이를 미리 알기 어렵다”고 말했다. 

이용균 전무는 보안관제가 APT 공격을 막는데 효과적이냐는 지적과 관련해서는 “보안관제를 통해 APT 공격에 대응하기 위해서는 목표를 명확히 해야 하고 트래픽 정보뿐만 아니라 인사정보 등 사용자 행위에 대한 철저한 분석이 선행되어야만 효과적으로 대응할 수 있다”고 말했다.

덧붙여 윤광택 이사는 “APT 공격은 다양한 사항을 고려해서 프로파일링을 해야 한다”고 강조했다.

한편, 류재철 교수는 “최근 APT 방어관련 특허 출원은 전 세계적으로 400건인데, 그 중 58%가 미국, 그리고 23%가 우리나라로, 우리나라가 APT 관련 특허출원 세계 2위인 셈”이라면서 “APT 관련 보안기술은 우리나라도 우수한 기술력을 보유하고 있다”고 말했다.

결론적으로 APT 공격에 대응하기 위한 최선의 방안은 지속적인 보안교육과 모의 훈련을 통한 보안의식 제고와 함께 다각적인 선제적 대응이 필요하다는 점이라고 참석자들은 입을 모았다.  

[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>