• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

국가간 사이버戰 무기로 진화하는 ‘APT 공격’ 2013.03.25

“APT 공격의 위험성 대두됐지만 실제 보안에는 미흡”

항상 보안 업데이트와 SW 최신 버전 유지해야


[보안뉴스 김태형] 지난 20일 국내 주요 방송사와 금융사의 전산망을 마비시켜 큰 혼란을 초래한 ‘3.20 전산망 사이버 테러’에 대해 전문가들과 정부는 아직 패치되지 않은 제로데이 취약점 등을 이용한 APT 공격이라고 설명했다.


APT는 특정 타깃을 정해 다양한 기술과 방법을 이용해 지속적·지능적으로 공격하는 형태를 말하는데, 해커들은 이번 APT 공격을 통해 미리 해당 타깃에 악성코드를 심어놓고 일정 시간이 되면 공격하도록 한 것으로 파악되고 있다.


아직 조사가 진행 중이지만 이번 사건에서 농협 내부의 사설 IP를 통해 악성코드가 유포된 것으로 밝혀졌다. 공격자는 농협 내부의 PC에 악성코드를 심어놓고 이를 통해 농협 서버에 접속해 악성코드를 생성 유포한 셈이다.


지난 2011년 농협 전산망 마비 사태도 공격자가 해당 협력 업체의 노트북에 백도어(Back Door)를 설치해 장기간 모니터링를 통해 공격을 진행한 것으로 알려졌다. 즉, 백도어를 통해 공격 대상 IP와 최고관리자의 비밀번호를 획득하기 위해 장기간 정해 놓은 목표물에 대한 공격 준비를 치밀하게 한 뒤에 공격을 진행한 APT 형태의 공격이었다.


농협은 그동안 보안 강화를 위해 여러 대책을 마련했지만 APT 공격 방법은 더 진화했고 2년 간 쌓아 온 보안을 또 다시 무너뜨리고 업무 PC와 서버에 타격을 입혔다.


아울러 지난 2011년 SK커뮤니케이션즈, 넥슨 등에서 일어난 해킹도 내부 전산망에 연결되는 PC에 악성코드를 심어 이를 통해 정보를 빼내는 APT 방식이었다. SK컴즈의 경우, 공격자는 무료 소프트웨어를 배포하는 타 기업의 서버를 통해 내부 PC를 감염시켜 이를 악용한 것으로 드러났다.


이번 3.20 전산망 사이버 테러에 사용된 공격은 이보다 더욱 진화했다. 공격자는 백신회사 등의 백신 설치와 정책적용, 버전 업데이트를 유지해주는 자산관리 서버의 관리자 계정을 탈취해 악성코드를 유포했던 것으로 드러났다.


이와 관련 최상명 하우리 선행기술팀 팀장은 “최근 APT 공격의 침투방법을 살펴보면 제로데이 취약점의 사용이 많이 보편화됐다. 그 이유는 최근 접하기 쉬워진 취약점 관련 지식으로 취약점을 찾아 공격에 이용하고 있다”고 설명했다.


또한, 그는 “문서 취약점을 이용해 내부 악성코드 감염을 시도하는 사례가 증가하고 있다. 공격자는 타깃 사용자에게 이메일을 통해 첨부파일로 쉽게 전달할 수 있는 한글문서의 취약점을 이용하는 사례가 올해 벌써 2건이나 발견됐다”고 강조했다.


덧붙여 그는 “지난 3.20 전산망 사이버 테러에 이용한 것과 같은 소프트웨어의 자동 업데이트 기능 등을 이용한 선택적 APT 공격도 위협적인 공격이 될 수 있다”고 말했다.


특히, 그는 “최근엔 국가가 지원하는 사이버전 성격의 APT 공격이 증가하고 있다. 현대전에서 정보 획득이 가장 중요한데, 이는 사이버상에서 많은 기밀정보를 쉽게 얻을 수 있기 때문”이라면서 “세계적으로도 다른 국가의 주요 시설이나 방위 산업체의 주요 정보를 빼내려는 시도가 증가하고 있어 중국·북한 등과 인접한 우리나라도 예외는 아니기 때문에 주의해야 한다”고 강조했다.


아울러 한국인터넷진흥원이 발표한 ‘2012 인터넷 침해사고 동향 및 대응’에 따르면 지난해 백신의 동작을 방해하거나 업데이트를 무력화시키는 형태의 지능화된 악성코드가 다수 발견된 것으로 집계됐다.


또한, 백신 탐지를 우회하는 악성프로그램 제작방법과 관련 정보가 게시판을 통해 공유되어 보안업계의 관심을 받았으며, 자기보호 및 치료를 어렵게 하기 위해 시스템의 BIOS(Basic Input Output System), MBR(Master Boot Record)을 감염시키는 악성코드 또한 다수 발견된 것은 이번 3.20 전산망 사이버 테러와 무관하지 않을 것으로 보인다. 


이러한 APT 공격은 그동안 보안관련 세미나 또는 컨퍼런스에서도 그 유형과 실제 사례, 그리고 대응방안 등에 대해 수 없이 언급됐고, 그 위험성을 경고한 바 있다.


이러한 경고에도 불구하고 이번 사태가 발생한 것은 각 기업이나 기관에서 APT 공격에 대해 실질적인 보안이 미흡한 것 아니냐는 지적도 있다. 그러나 제로데이 취약점은 대응하기가 어렵고 100% 완벽한 보안은 없기에 이번 사건을 계기로 APT 공격에 대한 철저한 분석과 대응이 필요하다는 목소리가 크다.   


이를 위해 보안 전문가들은 우선 “평소에 각종 백신이나 운영체제에 대한 보안 업데이트와 소프트웨어의 최신 버전 유지를 위한 업데이트는 필수적이다. 특히, 이번 공격은 제로데이 취약점을 동반한 APT 공격으로서, C&C 서버 IP를 확보한 후 차단해야 한다”면서 “게이트웨이의 종류로 외부망과 연결하는 대역의 감시를 강화해야 2차 피해를 막을 수 있다”고 말했다.


이제 APT 공격은 다양하고 지능적으로 진화하면서 항상 커다란 보안위협이 되고 있다. 이를 최대한 예방하기 위해서는 항상 보안 업데이트를 최신으로 유지하고 운영체제를 다양화하거나 각사의 환경에 맞는 보안 솔루션을 운영하면서 보안위협에 노출되지 않도록 주의를 기울여야 할 것으로 보인다.

[김태형 기자(boan@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>