2024-03-29 19:40 (금)
문서파일로 위장한 APT 공격 대책없나?
상태바
문서파일로 위장한 APT 공격 대책없나?
  • 길민권
  • 승인 2012.07.13 02:47
이 기사를 공유합니다

하우리, 행위기반 APT 방어 바이로봇 APT Shield 출시
최근 전세계적으로 기업 및 조직을 대상으로 한 APT 공격을 통한 해킹사고가 빈번히 발생하고 있다. 대표적인 예로 EMC RSA사와 국내에서는 고려대 정보보호대학원이 문서 취약점 악성코드를 이용한 공격을 받았다. 이외에도 국내에서 최근 지속적으로 문서파일로 위장한 악성코드 감염 시도가 계속되고 있는 상황이다.
 
이에 하우리(대표 김희천 www.hauri.co.kr)는 12일 힐튼호텔에서 신제품 발표회를 갖고 문서파일을 위장한 APT 공격 방어 솔루션 '바이로봇 APT Shield'를 공식 출시한다고 밝혔다.
 
 
이날 최상명 하우리 선행기술팀장은 “주로 APT 공격의 최초 감염 경로로 이메일을 통한 문서 취약점 악성코드를 이용한 공격이 주를 이루고 있다”며 “문서 취약점 악성코드의 경우 기존 백신의 패턴기반 탐지 방식으로는 한계가 있다. APT 공격 자체가 백신이 탐지 못하는 악성코드를 사용하기 때문”이라고 입을 열었다.
 
악성 해커가 문서파일이나 뷰어 프로그램을 이용해 열람시 설치되는 악성코드를 삽입한 후 사회공학적으로 획득한 타깃 기업의 임직원에게 이메일을 보낸다. 메일을 받은 직원중 몇 명만 메일에 첨부된 악성 문서를 열어보기만 하면 그때부터 PC에 악성코드가 설치된다. 이때 설치되는 악성코드가 바로 원격제어 기능을 하는 프로그램이다. 패치가 없는 제로데이 공격이라면 100% 감염이 되고 문서나 뷰어의 취약점 패치가 제대로 안돼 있다면 즉시 감염이 되는 것이다.
 
이후 공격자는 순차적으로 회사나 국가기관 내부의 DB서버 등에 접근할 수 있는 권한자 PC를 감염시켜 권한을 획득한 후 인가된 자의 자격으로 마음대로 내부 DB서버를 유린하는 것이다.
 
국내 사례를 살펴보면 지난해 11월 고려대학교 정보보호 대학원에 북한 해커로 추정되는 공격자가 한글 문서 파일이 포함된 이메일을 졸업생들에게 발송한 바 있다. 졸업생들이 주로 기관이나 기업의 보안담당자로 일하고 있다는 것을 의식한 APT 타깃 공격이다. 
 
또 지난 4월 국내 대형 포털 직원을 대상으로 중국 해커가 한글 문서 파일이 포함된 이메일을 발송한 사례도 있다. 그리고 기업 실무 관리자들의 개인 이메일로 워드 문서 파일이 포함된 연봉계약서라는 제목의 이메일이 발송된 바 있다. 이때는 MS 제로데이 취약점을 이용했기 때문에 상당수가 감염됐을 가능성이 높다.
 
최상명 팀장은 “이런 공격은 앞으로 더욱 증가할 것으로 예상된다. 이에 하우리는 APT 공격에서 목표 사용자의 PC에 문서 편집 및 뷰어 프로그램의 취약점을 이용해 APT 악성코드를 설치하는 행위를 탐지하고 이를 차단해 악성코드를 설치할 수 없도록 하는 방어 프로그램을 개발하게 됐다”고 제품 개발 배경을 설명했다.
 
하우리 바이로봇 APT Shield for Document는 우선 어떠한 백신과도 호환이 가능하고 설치파일이 약 3MB에 불과하고 설치시간도 2.5초면 끝난다. 그만큼 용량도 적고 설치도 간단하다는 것.
 
또 문서를 통한 APT 악성코드를 행위기반으로 생성과 실행 그리고 네트워크 접속까지 차단해 주는 기능을 가지고 있다. 특히 관제시스템과 연동해 문서로 유입되는 악성코드 설치를 상당부분 방어할 수 있다고 한다.
 
더불어 최 팀장은 “백신과 달리 패턴 업데이트가 필요 없고 알려지지 않은 제로데이 공격과 앞으로 나올 새로운 문서형 악성코드들도 탐지가 거의 100% 가능하다”며 “관제 서비스와 연동해 APT 공격의 현황을 관제할 수 있어 관제 업체들이 반색하고 있다”고 설명했다.
 
한편 최 팀장의 시연도 있었다. 언론사 사이트에 기사 제보란이 있는데 거기에는 문서파일을 업데이트할 수 있다. 만약 악의적 공격자가 언론사 사이트를 노리고 기사 제보란에 악성코드가 삽입된 문서를 제보내용으로 올려 놓으면 기자는 당연히 문서 파일을 열어 볼 것이고 바로 악성파일이 설치돼 그때부터 원격에서 악성해커의 공격이 시작될 수 있다는 요지다.
 
하우리 김희천 대표는 "바이로봇 APT Shield의 개발 컨셉은 Easy & Simple로써, 기존 네트워크 기반의 어플라이언스 보다 더 우수하고 정확한 탐지력을 갖춘 제품이다. 또한 어플라이언스 장비를 이용한 APT방어 솔루션들은 초기의 고가장비 구매 비용부터 매년 나가는 장비 감가상각 및 유지보수비용 등으로 사용자에게 큰 부담이 발생한다”며 “하지만 소프트웨어 기반의 바이로봇 APT Shield는 낮은 구매비용으로 확실한 도입효과를 느낄 수 있는 일석이조의 제품이다"라고 강조했다.
 
현재 이 제품 관련 기술은 특허출원 중이다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com
■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★