Q. APT 공격, 특히 사회공학적 보안위협에 임직원들이 취약합니다. 이에 가장 효과적인 훈련 및 대응방법은 어떤 것들이 있을까요? APT 공격을 예방하거나 피해를 최소화할 수 있는 방법이 있다면 알려주세요.

(황보성 한국인터넷진흥원 팀장/hbs2593@kisa.or.kr)

A-2. APT 공격 중 사회공학적 보안위협으로 대표적인 것이 해킹메일입니다. 처음 국가공공기관의 중요 인물에 대한 정보유출을 위해 제작된 것이 현재는 민간과 기업의 산업보안 유출 시도까지 확대되고 있습니다. 기업에서는 해킹메일과 같은 APT 공격 시나리오를 만들어 해킹메일 대응훈련을 주기적으로 실시하여 인사고과에 반영해야 합니다. 사실 해킹메일은 기업의 중요 임원을 목표로 하지만 인식제고 차원에서 전사 훈련을 실시하여 사고예방을 해야 합니다.

해킹메일로 의심되는 것은 무조건 삭제해야 하며 감염징후 및 감염사 실을 확인한 후 정보보호관련 부서로 통보해서 조치를 받아야 합니다. 해킹메일은 악성코드와 관련되어 있기 때문에 PC에 대한 운영체체 보안 업데이트 및 바이러스 백신의 실시간 점검이 필요합니다.

(박원형 극동대학교 사이버보안학과 교수/whpark@kdu.ac.kr)

A-3. APT 공격의 경우는 무엇보다 사회공학 기법을 이용해 발생하는 경우가 많으므로 무엇보다 인식교육이 중요하다고 할 수 있습니다. 보안에 대한 위협을 이론이 아닌 실제 다양한 사례와 시나리오에 기반해 교육함으로써 위험성에 대해서 인식할 수 있도록 해야 하며, 체계적인 대응훈련을 통해 사고 발생 시 절차에 따라 체계적으로 대응할 수 있도록 훈련되어야 합니다.

(김 석 노브레이크 대표/ostoneo@gmail.com)

A-4. 임직원들 개인정보를 볼 수 있는 사회공학기법을 이용한 RAT 공격을 교육을 통해 보여주면 보안의식의 필요성과 보안지식을 효과적으로 어필할 수 있어 효과적인 방법이라고 생각합니다. APT는 하나의 공격 방식이 아니라 일종의 패러다임입니다. 이런 패러다임형 공격유형은 한 가지 방법으로는 해결할 수 없기 때문에 통합적인 보안(기술적·관리적·물리적)이 필요합니다.

(박찬주 노브레이크 수석/root.mahanaim@gmail.com)

A-5. APT공격에 가장 효과적인 대응 방법은 보안의식 고취라고 생각됩니다. 지속적인 보안 교육 및 임원진들의 보안 의식이 APT를 방어하는 가장 좋은 방법이 될 것입니다.

A-6. 훈련으로 가능한 부분이 일부분 있겠습니다. Targeted Phishing을 실제로 보내 보고 성공하는가 확인하는 것이 한 가지 방법입니다. 그렇지만 원천적인 방법은 교육만으로는 불가능합니다.

(김용대 한국과학기술원 교수/yongdaek@kaist.ac.kr)

A-7. 지능형 지속공격의 대표적인 특징 중의 하나는 특정한 집단이나 개인 등 명확한 공격 목표를 설정한다는 점입니다. 공격자는 이러한 특정 대상에 대한 공격 성공확률을 높이기 위해 불특정 다수에 대한 유인공격보다는 워터링홀, 스피어피싱 등의 사회공학적 기법을 선호하는 것입니다. 사회공학적 기법에 의한 공격의 첫 번째 단계는 공격 대상에 대한 정보를 수집하는 정찰단계입니다. 이 단계에서 공격자는 대상에 대한 가능한 모든 정보를 수집하기 위해 검색엔진, 대상이 소속된 조직의 홈페이지, SNS 계정, 조직에서 발간한 자료 등을 통해 장기간에 걸쳐 정보를(이러한 정보를 ‘공개출처정보’라 한다) 수집/분석하게 됩니다.

이렇게 수집된 정보를 바탕으로 공격대상에 대한 프로파일을 작성하게 되며 사회공학적 공격 기법의 기초자료가 되는 것입니다. 이 단계에서 활용되는 가장 강력한 도구는 역시 구글과 같은 검색엔진이며 공개된 파일로부터 메타데이터를 추출해 주는 FOCA(Fingerprinting Organizations with Collected Archives)와 같은 도구들도 많이 활용되고 있습니다. 이렇게 장기간에 걸쳐 수집된 정보를 바탕으로 한 공격 대상에 대한 프로파일은 놀랄 만큼 많은 정보를 포함하고 있으며, 이 프로파일에 포함된 정보가 많을수록 정교한 공격이 가능한 것입니다.

이 단계에서 정보수집을 차단하면 이론적으로 사회공학적 공격기법을 차단할 수 있으나 현실적으로 불가능한 일이고 노출되는 정보를 최소화하는 것이 현실적인 방안이라 하겠습니다. 정보노출 최소화를 위한 몇 가지 방안을 제시하자면 첫째, 조직의 홈페이지나 인터넷으로 배포되는 자료에 포함된 메타데이터를 모두 제거하는 것입니다. 메타데이터 정보에는 조직의 부서정보, 작성자에 대한 정보, 네트워크 정보, 이메일, 문서 작성에 사용된 소프트웨어 정보 등이 포함될 수 있으니 메타데이터 제거만으로도 상당한 정보통제 효과를 볼 수 있습니다.

또한 이미 공개된 정보는 앞서 언급한 FOCA(Fingerprinting Organizations with Collected Archives) 같은 도구를 활용해 노출 정도를 파악하고 제거할 수 있습니다. 둘째, 회사 업무용으로 사용되는 모바일 정보기기에 대한 MDM(Mobile Device Management) 등의 통제수단 적용을 통해 모바일 기기의 멀웨어 감염 등을 통한 정보유출을 방지할 수 있습니다. 특히 정보시스템 관리자, 운영자, 개발자, 보안담당자, 조직의 임원급의 개인정보 기기는 공격자에게는 보물창고와 같다는 것을 명심해야 합니다.

셋째, 정보시스템(서버, PC, 노트북, 복합기 등)에 대한 반출입 절차와 폐기 절차 수립을 통해 저장매체에 대한 통제를 강화해야 합니다. 특히 USB 등 휴대용 저장매체는 암호화 모듈 탑재를 통해 분실이나 도난 시 정보유출을 방지할 방안을 마련해야 합니다. 넷째, 인터넷 이용 시 안전 브라우징을 사용해 쿠키를 통한 정보유출을 방지하는 것입니다. 근래에 감염된 웹사이트를 통해 사용자 쿠키 정보가 유출되는 사례가 증가하고 있고 이를 통해 공격대상의 인터넷 사용기록이 노출될 수 있습니다.

공격자는 이러한 정보를 바탕으로 워터링홀과 같은 사회공학적 공격기법을 사용할 수 있습니다. 마지막으로, 조직이나 개인이 SNS에 멀티미디어, 사진 등의 파일을 업로드할 때 메타데이터를 제거하는 도구를 활용하는 것입니다. 이러한 파일에는 공격대상의 생활양식을 추정할 수 있는 다양한 정보가 포함되어 있습니다. 이러한 방안들을 통해 사회공학기법에 악용될 수 있는 정보유출을 상당 부분 차단할 수 있을 것으로 기대되나 사회공학기법에 의한 공격을 완전히 차단하기는 불가능에 가깝습니다. 따라서 공격이 성공한다는 가정 하에 공격의 효과를 감소시킬 수 있는 단계적 대응 방안을 수립하는 것이 합리적인 접근일 것입니다.

이러한 방안을 몇 가지 제시하자면 첫째, 논리적 망분리를 통해 인터넷망 영역의 감염으로 부터 내부망을 보호하는 것입니다. 사회공학기법 공격을 통해 유입된 악성코드를 외부망에 고립시켜 공격 효과를 감소시키고 신속한 격리를 통해 전파를 차단/제거하는 방법입니다. 이 때 가상 네트워크 환경과 엔드포인트 보안 솔루션의 연계 구축을 통해 자동화된 탐지 및 격리 환경을 구축할 수 있습니다.

둘째, 정보시스템 관리조직, 인프라 관리조직, 개발조직, 정보보호 관리조직, 관제조직 등 핵심 인프라 접근권한이 있는 사용자들을 위한 운영망을 내부 업무망과 분리해 구축하는 것입니다. 이를 통해 인터넷망에서 내부 업무망으로 유입된 악성코드가 핵심 인프라로 전파되는 것을 방지할 수 있을 것입니다.

셋째, 서버영역을 NFV(Network Function Virtualization) 등을 이용해 가상 네트워크 환경으로 구축해 개별 정보시스템 별로 분리 구축하는 것입니다. 이것은 악성코드가 서버영역까지 침범해 침해사고가 발생했을 때 인접 정보시스템으로 전파되는 것을 방지하고 침해 사고가 발생한 정보시스템을 서버영역 네트워크로 부터 신속히 격리하기 위한 방안입니다. 모든 노력에도 불구하고 APT 공격을 근본적으로 방지할 방법이 현재까지는 존재하지 않으므로 다층적방어체계(In-Depth Security)와 APT 킬 체인 단계별 방어전략 수립을 통하여 침해사고의 영향을 감소시키는 것이 현실적 방안일 것입니다.

(윤재봉 보안컨설턴트/knight.yun@gmail.com)

A-8. APT 공격 예방을 위한 시스템 강화를 위해서 다음과 같은 조치가 필요합니다.

1. 모든 운영체제와 웹 애플리케이션 및 관련 서버는 최신 버전을 유지하고 보안 패치를 적용합니다.

2. WSUS(Windows Server Update Services)로 최신 보안 패치를 배포하고 설치합니다.

3. 모든 시스템에는 안티바이러스 소프트웨어를 설치하고 안티바이러스 관리 서버에서 모니터링합니다.

4. 모든 운영체제에 존재하는 사용하지 않는 사용자 계정은 비활성화하거나 삭제합니다.

5. HSM(Host Security Monitoring, HIPS) 설치 후모니터링하고 주기적으로 분석합니다.

6. 터미널 서버에는 공용 계정을 삭제하고 저장된계정 정보와 암호를 모두 삭제합니다.

7. 터미널 서버에는 업무 목적별로 개별 계정을 생성한 후에 로그인 로그를 생성하고 관리합니다.

8. 데이터베이스의 xp_cmdshell Procedure를 삭제하고 관련 파일 xplog70.dll을 삭제합니다.

9. 데이터베이스 정보는 암호화해서 관리하되, 웹서버에서 암호화하여 데이터베이스로 전송합니다.

10. 웹 서버에는 SSL(Secure Socket Layer)를 활성화합니다.

11. 윈도우 이벤트 로그 및 IIS 웹 로그는 통합해 로그 매니지먼트 서버에서 관리합니다.

(이준택 한양대학교 교수/joontaiklee@gmail.com)

A-9. 일반적으로 악성코드의 위험은 ‘관리자’가 관리를 잘 하면 될 것이라고 생각하나, 1명이 감염되면 관련 지인 또는 회사 전체가 감염될 수 있다는 사실을 알아야 합니다. 특정인을 타깃으로 하는 사회공학적 보안위협을 예방하기 위해서는 자신의 정보가 유출되지 않도록 방지하는 것이 최선의 방법입니다. 개인적으로 사용하는 포털, 쇼핑몰 등의 인터넷상의 홈페이지와 회사 내부에서 사용하는 시스템의 계정을 다르게 관리하는 것이 좋습니다. 그리고 SNS를 통해 해커들에게 많은 정보가 이용되지 않도록 공개 수준을 잘 관리해야 합니다.

여러 홈페이지, 내부시스템 계정을 관리하며 정보 유출을 막더라도 악성 URL, 메일의 첨부파일 등을 통해 악성코드가 배포된다면 감염될 수도 있습니다. 인터넷 사용 가능한 PC에서는 불특정 다수에게 보내진 메일에 포함된 파일이나 URL을 클릭하지 않는 것이 좋습니다. 최근에는 포털사이트의 계정을 탈취한 후, 주소록에 있는 모든 사용자에게 메일을 보내며 악성코드를 배포하는 사례가 많이 나타나고 있습니다. 지인이 보낸 메일이라도 첨부파일과 URL은 신중하게 확인하는 습관이 필요합니다.

(조태희 소프트캠프 R&D 기획조정실 차장/thcho@softcamp.co.kr)

[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>