YTN APT공격 대응 시스템 구축사례
\r\n
.jpg)
YTN은 국내 최초로 도입한 보도정보 시스템과 디지털 뉴스 룸 시스템을 구축하고 취재, 기사작성, 송고, 편집, 송출 등 전 과정을 전산처리, 네트워크로 구성해 빠른 뉴스를 제공하고 있다. 올해로 개국 20주년을 맞이한 YTN은 상암동으로 사옥을 이전하며 힘찬 도약을 준비하고 있으며 중요 시스템 보안을 구축하기 위해 분주하게 대응하고 있다. 24시간 신속한 뉴스 보도를 해야하는 YTN의 업무 특성상 이러한 전산시스템과 네트워크는 가용성 측면에서 연속성 확보가 매우 중요한 시스템이기 때문이다.
\r\n
\r\n
│윈스테크넷 (www.wins21.co.kr)│
\r\n
\r\n
\r\n
2013년 3월 20일 북한 정찰총국 소속 해커의 최소 8개월 이상의 치밀한 준비에 의한 금융/방송 사이버테러가 발생됐다. 3.20 사이버테러는 전형적인 APT 공격의 형태로서 몇개월에 걸쳐 정상적인 사용자의 아이디와 패스워드를 훔쳐 사용하기 때문에 방화벽이나 백신도 무용지물로 만들 수 있는 지능형 지속 공격이다.
\r\n
\r\n
이 공격으로 인해 국내 주요 방송·금융 6개사의 전산망이 악성코드에 감염돼 총 3만 2,000여 대에 달하는 컴퓨터가 일제히 마비되는 사상 초유의 정보보안 사고가 발생했다. YTN도 해커의 공격 대상이 돼 일부 시스템이 악성코드에 감염됐으나 사건 발생 직후 YTN 직원들의 발 빠른 대처와 일부 수작업을 통해 방송 중단 위기는 넘겼다. 24시간 신속한 뉴스 보도를 해야 하는 YTN의 사업 연속성이 위협을 받을뻔한 아찔한 순간이었다.
\r\n
\r\n
악성코드 분석 정확도와 사용자 편의성에 중점
\r\n
3.20 사이버테러 이후 YTN은 APT 공격의 위기의식에 대한 인식과 APT 공격 예방체계 마련을 위해 APT 공격 대응시스템을 도입하기로 결정했다. 지난해 12월까지 장기간에 걸친 제품 검토를 통해 APT 공격 대응 시스템으로 윈스테크넷의 ‘스나이퍼 APTX’를 선정하고 구축을 완료했다.
\r\n
\r\n
당시 검토한 제품은 국내외 7개사의 APT 공격 대응 시스템으로 각 사 제품별로 약 2주간에 걸쳐 동일 구간에 설치해 실망 필드테스트 거친 결과 윈스테크넷 ‘스나이퍼 APTX’가 최종 선정됐다. YTN측은 악성코드 분석의 정확도와 사용자 편의성을 중점적으로 평가했고 검토 대상 제품 중 윈스테크넷의 스나이퍼 APTX가 YTN의 환경에 가장 적합하기 때문에 선정했다고 말했다.
\r\n
\r\n
특히 필드테스트 기간 중 백신 우회기술이 적용된 악성코드, 실행시간의 지연을 통해 샌드박스 기반 분석기술을 우회하는 악성코드, 다중 압축으로 숨겨진 악성코드 등 다수의 지능형 악성코드를 탐지, 분석하는 기술이 타사에 비해 우수하다고 평가받았다. 또한 상세하고 이해하기 쉬운 악성코드 분석보고서 제공, 악성코드가 유입된 경로가 아닌 악성코드의 근원지를 탐지하는 기능, 실시간 모니터링에 유리한 GUI 환경 등 사용자의 편의성에 중점을 둔 부가기능 또한 스나이퍼 APTX가 YTN의 APT공격 대응 시스템으로 선정되는데 큰 요인이 됐다.
\r\n
\r\n
스나이퍼 APTX는 외부에서 내부로 유입되는 모든 파일에 대한 다운로드를 감시하고 내부에서 발생된 좀비 PC와 외부의 해커 간의 통신을 탐지하는 탐지 시스템, 내부로 유입된 모든 파일을 행위기반과 패턴기반으로 분석해 악성코드 여부를 판단하는 분석 시스템, 다수의 탐지 시스템을 통합 관리하고 치료 에이전트의 악성코드 치료 행위를 관리하는 관리/치료 시스템, 사용자 PC로 유입된 악성코드의 활동을 억제하고 치료하는 치료 에이전트로 구성돼 있다.
\r\n
\r\n
이중 탐지 시스템은 YTN 네트워크의 향후 확장성을 위해 10Gbps를 지원하는 제품으로 구축했으며, 이메일을 통해 메일 서버로 유입되는 악성코드와 YTN 자체 운영 중인 웹하드 서버로 유입되는 악성코드를 탐지하기 위해 사용자 PC 구간과 DMZ 구간을 동시에 모니터링 하도록 구성했다.
\r\n
\r\n
분석 시스템은 대규모의 YTN 환경에 적합하도록 다수의 분석모듈을 탑재함으로써 내부로 유입되는 파일이 분석되기까지의 시간이 최소화되도록 구성했으며, MS 오피스 문서파일, 한글 문서파일, PDF 파일 등 다양한 형태로 발생되는 악성코드가 분석되도록 구성했다.
\r\n
\r\n
치료 에이전트는 약 1,000여 대의 사용자 PC에 대한 악성코드를 치료할 수 있도록 구축했고 자동치료, 수동치료, 악성코드 유형에 따른 선택치료 등 다양한 치료 옵션을 제공했다. 또한 치료 현황에 대한 통계 및 모니터링이 가능하도록 해 관리자의 편의성 향상을 기대할 수 있다.
\r\n
\r\n
.jpg)
\r\n
\r\n
APT 공격 및 개인정보 유출 방어
\r\n
\r\n
YTN에 대한 전방위 방어체계 마련
\r\n
이번에 도입한 스나이퍼 APTX는 APT공격을 유발하는 악성코드에 대해 탐지, 분석, 치료, 차단의 4단계 종합 대응체계를 제공하며, USB 메모리나 외주 용역업체 직원 PC 등 비정상적인 경로로 유입된 악성코드에 의해 발생된 좀비PC가 외부 해커와 역접속(Reverse Connection) 통신을 하는 것을 세션 기반으로 탐지하고 차단하는 기능을 제공함으로써 APT 공격에 대한 전방위 방어체계를 마련했다.
\r\n
\r\n
\r\n
신변종 악성코드 대응 역량향상
\r\n
기존 백신만으로는 APT공격의 핵심인 신변종 악성코드의 탐지가 불가능했기 때문에 사용자 PC에 신변종 악성코드가 유입이 되더라도 그 사실을 알기가 쉽지 않고 PC에 이상증세가 생기더라도 백신 제조사에 별도로 의뢰해야 하는 어려움이 있었다. 백신 제조사는 샘플을 추출해 분석하고 치료 업데이트까지 완료되는데 최소 3일, 길게는 일주일까지도 소요되는 등 사실상 신변종 악성코드에 대한 방어체계가 전무하기 때문이다.
\r\n
\r\n
또한, 샘플을 추출하는 과정에서 내부정보의 유출이 우려되는 경우까지 있었는데 이번 APT 대응 시스템 도입을 통해 어떠한 내부정보도 외부로의 유출 없이 자동화된 분석체계에 의해 신변종 악성코드를 탐지하고 즉시 치료까지 하는 등 대응 역량이 향상 됐다.
\r\n
\r\n
개인정보유출 실시간 탐지체계 마련
\r\n
스나이퍼 APTX는 주민등록번호, 신용카드번호 등 YTN 내부에서 보유하고 있는 개인정보가 네트워크를 통해 외부로 유출되는 것을 실시간으로 탐지하는 기능도 내장돼 있다. 이는 최근 사회적으로 이슈가 되고 있는 개인정보 유출 사고에 대한 하나의 대안이 될 것이다.
\r\n
\r\n
최근의 해킹 공격은 기존의 방어체계를 우회하는 지능화되고 고도화된 APT 형태를 띠는 경향이 많아 신속하고 적절한 대응이 되지 않으면 큰 피해를 입을 수도 있다. 이번 YTN에 도입된 스나이퍼 APTX을 통해 320과 같은 APT공격이 발생됐을 때 빠른 탐지와 대응으로 피해를 최소화할 수 있는 기반을 마련할 수 있을 것이다.
\r\n
\r\n
\r\n
[월간 시큐리티월드 통권 제207호(sw@infothe.com)]
\r\n
\r\n
<저작권자 : www.securityworldmag.co.kr) 무단전재-재배포금지>
\r\n
