• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

가장 막기 힘든 해킹! APT 공격의 원천 차단이 어려운 이유 2015.02.20

Q. APT 공격은 원천 차단할 수 있나요? 아니면 감기처럼 한 번 걸린 다음 백신이 나오는 것처럼 탐지가 되어야 차단할 수 있는 것인가요?

 

A-1. APT 공격이 특정 기법만을 사용하는 것이 아니기 때문에 APT 공격을 완벽히 차단할 수 있는 장비나 솔루션은 없습니다. 실제로 현재 알려져 있는 APT 솔루션들은 기존 보안 솔루션들의 여러 기능을 통합 및 기능을 강화한 형태가 많습니다.


신규 취약점을 이용하거나 지능적으로 악성코드를 제작하여 백신이나 보안솔루션을 우회하는 경우가 많으나, 보안원칙을 철저히 하여 위협요인을 최소화하고 전문인력이 보안솔루션을 활용해 모니터링 및 이상 징후 탐지 노력을 지속할 때 피해를 최소화할 수 있습니다.

(황보성 한국인터넷진흥원 팀장/hbs2593@kisa.or.kr)

 

A-2. 새로운 취약점과 공격이 지속 발생하고 있는 상황에서 현재 APT 공격을 원천 차단할 수 없다고 봅니다. 예를 들어, 2013년 3.20 사이버테러 발생 시 공격기법에 대한 예측을 전혀 할 수 없었으며 MBR 레코드 파괴 시 신속한 대응이 어려웠던 것이 사실입니다. 하지만 현재 각 백신업체에서 MBR 파괴와 같은 악성코드 대응 백신이 개발됐으며 향후 동일한 공격이 발생했을 경우 대응할 수 있습니다. 현재 기술로는 탐지 후 대응 및 차단할 수 밖에 없다고 판단됩니다.

(박원형 극동대학교 사이버보안학과 교수/whpark@kdu.ac.kr)


A-3. APT 공격은 일반적으로 알려지지 않은 취약점을 기반으로 하거나, 장시간 대상에 대한 정보를 수집해 공격하는 방식이므로 원천 차단은 불가능합니다.

(김 석 노브레이크 대표/ostoneo@gmail.com)


A-4. APT는 정해진 공격 방식이 아니기 때문에 결론적으로 원천 차단은 불가능합니다. 기존의 APT 솔루션들도 이미 업데이트된 패턴이나 행위기반에 인식되는 악성코드들은 탐지할 수 있지만, 처음 나오는 패턴이나 분석엔진에 업데이트 안된 방식의 악성코드라면 패턴이 나오거나 분석엔진의 업데이트가 되기 전까진 위험에 노출될 수 밖에 없습니다.

(박찬주 노브레이크 수석/root.mahanaim@gmail.com)


A-5. 원천적이나 완벽한 차단은 없다고 생각 합니다. Arms Race가 계속 일어날 것이고 계속 노력을 해야 합니다.

(김용대 한국과학기술원 교수/yongdaek@kaist.ac.kr)

A-6. 감기처럼 한 번 걸리면 다음에 관련 백신이 나오는 것처럼 악성코드도 탐지된 후에 차단하는 방식은 패턴·시그니처를 보유하고 있다가(백신DB) 파일 검사 시, 치료·삭제하는 방식으로 ‘정적 분석’ 방식으로 차단하고 있습니다. 하지만 어떠한 솔루션도 새롭게 변형되어 생성되는 모든 악성코드를 100% 원천 차단할 수는 없습니다.

시간당 새롭게 생겨나는 악성코드의 개수보다 시간당 분석하고 치료·차단할 수 있는 악성코드의 개수가 적기 때문입니다. 보안업체는 0.0001% 확률의 오탐을 줄이고 새로운 형태의 악성코드에 대응하고자 하고, 해커들은 새로운 악성코드들을 만들어내는 창과 방패의 싸움이 계속될 것입니다.

(조태희 소프트캠프 R&D 기획조정실 차장 /thcho@softcamp.co.kr)


A-7. 지능형 지속공격(APT)이라는 공격유형의 예방이 가능한지는 일반적 공격유형과 APT 공격유형의 차이점을 검토해보면 추측이 가능할 것으로 보입니다. 일반적 공격과 APT 공격의 차이점은 첫째, 일반적 공격은 불특정 다수를 대상으로 하는 경우가 많지만, 지능형 지속 공격은 특정한 집단, 개인 등 명확한 공격 목표를 설정한다는 점.


둘째, 일반적 공격은 단기간 파편적인  이루나 지능형 지속 공격은 방어자가 공격 여부를 판단할 수 없을 정도로 장기적으로 신중하게 계획에 의해 진행되고, 따라서 방어자는 공격이 단편적인 단일 공격인지, 장기적인 공격 일부인지를 판단하기가 어렵다는 점. 셋째, 일반적 공격은 공격주체가 직접적 공격을 실행하는 경우가 많은 데 비해 지능형 지속 공격은 공격주체는 드러나지 않고 사주를 받은 다양한 제3자나 단체에 의해 순차적으로 공격이 이루어지는 경우가 많다는 점.


넷째, 일반적 공격은 공격에 드는 비용이 증가할수록 공격을 포기하는 경우가 많으나 지능형 지속 공격은 비용과 관계없이 목적이 달성될 때까지 공격을 지속하는 경우가 많다는 점(정치적인 목적의 핵티비스트나 국가에 의한 공격이 이에 해당).

다섯째, 일반적 공격이 불특정 다수를 대상으로 한 스팸메일, 피싱 등과 같이 무작위의 대량 유인 메시지의 발송을 통해 공격 성공 확률을 높이는 반면, 지능형 지속 공격은 특정 공격대상에 대해 충분한 정보를 수집하고 이를 바탕으로 워터링홀, 스피어 피싱 등 사회공학적 기법을 통해 공격의 성공 확률을 높인다는 점.


여섯째, 일반적 공격유형은 공격하기 쉽고 상대적으로 보안수준이 낮은 대상에 집중되는 반면 지능형 지속 공격은 상대적으로 보안 수준이 높은 고가치 표적을 노린다는 점. 마지막으로, 일반적 공격은 공격자의 역량 수준이 다양하나 지능형 지속 공격은 공격자가 전문가 수준의 역량을 가지고 있는 경우가 대부분이라는 점 등이라고 할 수있습니다. 위와 같은 지능형 지속 공격의 특징으로 인해 지능형 지속 공격을 기술적으로 예방하거나 사전에 감지하기는 거의 불가능하다고 할 수 있습니다.

특히, 주로 Zero-Day 취약점을 이용해서 장기간 침투가 이루어진다는 점에서 패턴기반의 정보보호 솔루션으로 사전에 방지할 수 없는 특징을 가지고 있습니다. 따라서 기존 네트워크 경계에서 방어를 하는 전략에서 벗어나서 다층적 방어 전략(In-Depth Security)과 공격 킬 체인(정찰 -> 무기화 -> 전달 -> 악용 -> 설치 -> 명령과 제어 -> 행동) 단계별 방어전략 수립을 통해서 공격을 약화시키고 침해사고 발생 시 영향도를 최소화 하는 것이 현실적인 방안이라 볼 수 있습니다.

그리고 선제적 예방조치로서 취약점 관리 활동을 강화하고 기존 방어적인 전략에서 벗어나 공격적으로 취약점을 찾아내고 제거하는 Offensive Security 개념을 도입함으로써 공격 단면적을 최소화 할 수 있는 방안을 수립해야 할 것입니다. 결론적으로 기술적 통제수단에 의존하기 보다는 지속적인 모니터링과 리스크 관리 활동을 병행해서 수행함으로서 공격의 영향도를 최소화 할 수 있는 전략으로의 변경이 필요한 시점입니다.

(윤재봉 보안컨설턴트 /knight.yun@gmail.com)


A-8. APT 공격의 경우 특정한 목적을 가지고 오랜 기간 동안 공격하는 것이 특징 입니다. 또한 최신 보안기술을 우회하기 위하여 제로데이 취약점과 같은 알려지지 않은 공격기법으로 접근을 하기 때문에 원천적으로 차단할 수 있다고 말하기 어렵습니다. 하지만 각종 보안장비를 활용한 지속적인 모니터링과 로그분석을 통한 APT 징후 포착과 관리적인 보안정책 강화를 통해 APT 공격을 최소화할 수 있습니다.

(임동철 열심히커뮤니케이션즈 리스크관리실 대리/neo3712@keencomms.com)


A-9. 원천적으로는 불가능하지만 99% 이상 대응은 가능합니다. 우선 각종 취약점을 보완해야 하고, 악성코드 탐지 및 차단이 중요합니다. 또한 평소와 다른 패턴의 이상 징후에 대한 탐지와 이를 분석해 대응하는 등 지속적인 관리가 필요합니다.

(임채호 KAIST 교수/chlim@kaist.ac.kr)

[김태형 기자(boan@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>