APT(Advanced Persistent Threat) 공격이란 개인 해커에 의한 공격이 아니라, 정부 또는 특정 회사의 중요 정보 획득, 정치적 목적, 사이버 테러 등을 목적으로 하는 범죄 그룹에 의해 사이트, 기업, 개인을 상대로 지속적으로(persistently) 해킹 공격을 하는 것을 말한다. 최근 전세계적인 해킹공격의 트랜드이기도 하다.
 
지난 13일, 아이티엘과 씨드젠이 주관한 ‘지능형 지속해킹 공격 및 웹 플랫폼 위협 대응 전략세미나’에서 이종호 와우해커 연구원(인하대학교)은 ‘최신 APT 공격의 정의와 특징 사례’라는 주제로 발표했다. APT 공격에 대해 그와 인터뷰를 진행했다.
 
이종호 연구원은 “APT 공격은 사회공학, 컴퓨터 취약점을 이용하고 조직, 사람, 기술, 정보 등을 총망라하는 총체적 공격방식으로 이루어진다”고 설명하고 “주로 보고되지 않은 제로데이 취약점과 최신 기법의 악성코드를 사용해 오랜 시간 동안 지속적으로 공격한다. 또 기밀 정보 획득을 위해 내부 직원을 타깃으로 공격하는 것이 특징”이라고 말했다.
 
◇APT 공격 사례는=최근 APT 공격사례로는 농협 전산망 해킹사건을 들 수 있다. 지난 4월 12일 농협 전산망 금융서버가 공격을 당했다. 공격방법은 모 웹하드 사이트의 업데이트 프로그램으로 위장된 악성코드가 유포됐다. 이 악성코드에 감염된 노트북 중 한대가 농협시스템 관리자인 것을 알게 된 해커는 7개월간 노트북을 모니터링해서 공격을 감행했다.
 
이로인해 내부 서버 587대중 273대 서버가 디스크 손상 피해를 입었다. 웹서버 98대중 45대, 내부서버 440대중 180대, 테스트서버 49대중 48대가 피해를 입은 것으로 드러났다. 또 재해복구용 서버도 파괴됐고, 이 때문에 농협은 2주간 정상영업이 힘들었고 최소 80억원 이상의 피해가 발생했다.
 
이 연구원은 “문제가 됐던 웹하드 사이트는 7.7 DDoS 대란때도 악성코드 유포지가 됐었는데 농협 사건 때도 또 문제가 됐다. 전혀 유포지에 대한 근본적인 보안대책이 이루어지지 않고 있다는 증거”라며 “농협의 비밀번호 관리 부실도 문제였다. 2010년 7월 이후 관리자 비밀번호가 변경되지 않았고 비밀번호가 유추하기 쉬운 aaaa, 1111 등이었다는 것은 명백한 보안관리 부실”이라고 지적했다.
 
또 그는 “외부 유지보수 업체 직원들의 무선랜과 무선인터넷을 이용할 때는 승인을 받아야 함에도 노트북 등에서 승인없이 자유롭게 무선인터넷을 사용한 것이 드러났고 보안프로그램이 설치되지 않은 채 자유롭게 내외부망 접근이 가능했다. 또 승인절차 없이 자유롭게 외부 반출이 된 점도 큰 문제였다”고 덧붙였다.
 
APT 공격은 한국뿐만 아니라 해외에서도 골칫거리다. 이 연구원은 “얼마전 글로벌 에너지 업체가 APT 공격을 받았다. 나이트 드래곤 공격으로 알려져 있는데 SQL인젝션 공격을 통해 악성코드가 유입됐고 임직원들을 대상으로 타깃 공격을 시도해 웹서버를 통해 감염시킨 것이다. 이를 통해 내부 네트워크의 중요 시스템 계정 및 비밀번호를 획득한 후 기밀 문서를 탈취해 간 사건”이라고 설명했다.
 
또 “RSA를 대상으로 APT 공격이 이루어졌다. 이때는 SNS를 통한 직원 이메일을 획득해 임직원들을 대상으로 플래시 제로데이 취약점이 첨부된 이메일을 발송, 원격제어 악성코드를 감염시켰다. 이를 통해 내부 네트워크 계정 및 비밀번호가 노출되고 기밀문서가 탈취된 사건이었다”고 말했다.
 
◇APT 공격 형태와 방어는 어떻게=이 연구원은 “APT 공격은 사전에 치밀하게 계획된다. SNS를 활용해 공개된 이메일 등을 수집하고 피싱메일을 발송해 악성코드가 첨부된 파일을 열어보게 만든다. 이때 악성코드는 제로데이 취약점이나 최신 기업의 악성코드를 사용한다”고 말하고 “서버에 침투해 오랜 기간 모니터링을 실시하고 여기저기에 백도어를 설치한 후 취약점을 이용해 관리자 권한을 획득하는 식으로 이루어진다”고 설명했다.
 
이러한 공격을 막기 위해서는 어떤 대비책이 필요할까. 그는 “완벽히 차단하는 것은 힘들다. 하지만 MS 업데이트 보안패치는 필수다. 또 어도비나 문서작성 프로그램들의 보안 업데이트도 확인해야 한다. 그리고 웹 브라우저 보안SW 설치와 방화벽 백신 설치, 내부 서버 커널 업데이트 등이 필요하다”며 “추가적으로 임직원의 사회공학 기법 보안교육이 시급하고 내부 통신 암호화, 인증 절차의 강화, 로그 관리 등이 잘 이루어져야 한다”고 강조했다.
 
덧붙여 그는 “대부분의 APT 사례들이 외부로부터의 공격이 아닌 내부로부터의 위협이었기 때문에 그에 대한 대응책도 필요하다”고 말했다. [데일리시큐=길민권 기자]