[박춘식 교수의 보안이야기] 2011년 11월 4일, 일본 IPA 주최로 일본 경제산업성에서 열린 기업 정보보호 대책 설명회에서 IPA의 한 관계자가 발표한 「표적형 공격-새로운 형태의 공격 실태와 대책」 내용을 소개한다.
 
◇다른 회사의 시큐리티 부실이 표적형 공격을 부른다
올해 밝혀진 일본 미쓰비시중공업에 대한 표적형 공격에 대해서 설명하였다. 미쓰비시중공업이 받은 공격의 상세함은 알 수 없지만 대략의 공격 시나리오는 다음과 같다.
-업계 단체인 일본항공우주공업회의 종업원 개인PC가 맬웨어에 감염
-공격자가 일본항공우주공업회의 종업원과 미쓰비시중공업을 포함한 관련기업과 메일을 주고받는다는 정보를 획득
-공격자는 미쓰비시중공업과의 업무 관계가 있는 사람의 이름이나 메일주소를 특정하여 송신자의 주소를 사칭해 악성 메일을 발송
-미쓰비시중공업의 메일 수신자의 단말이 맬웨어에 감염
-공격자는 맬웨어에 감염된  PC를 이용해서 사내 서버에 침입
 
미쓰비시중공업의 사례로부터 알 수 있는 것처럼, 공격자는 공격 대상 기업을 직접 노리는 것이 아니라 공격 대상 기업의 관련 기업이나 조직도 노리고 있다고 밝혔다. “시큐리티 대책이 미흡한 기업이 1개 회사라도 있으면, 관련 조직이나 기업에 있어서 커다란 위협이 된다는 것을 의식해야만 한다”고 경고했다.
 
◇송신자 사칭 메일에 속지 않으려면
표적형 공격에 있어서 공격 수단으로써 이용되는 경우가 많은 것이 이메일이다. 표적형 공격에 이용되는 메일은 다음과 같은 특징이 있다.
 
-송신자를 위장하여 실존하는 신뢰할만한 직위나 개인으로부터의 메일인것처럼 보이게 한다.
-이메일 본문이 공격 대상의 업무에 관련되어 있는 내용
-첨부된 맬웨어는 대부분 바이러스 백신으로는 탐지할 수 없다.
-해외 IP 주소로부터 발신된 경우가 많다.
 
표적형 공격에 이용되는 메일은 통상의 메일과 같은 경로로 송신되기 때문에 시스템으로 막는 데에는 한계가 있다. 신뢰감이 있는 조직이나 단체로부터의 메일인 경우, 수신자는 안심하면서 열어볼 가능성이 높은 위험도 있다.
 
“공격자는 기업간에 형성된 신뢰 관계를 교묘히 이용한다. 밸류체인(Value Chain)을 구성하는 기업이 하나가 되어 시큐리티 레벨을 향상시킬 필요가 있다”며 “보통 수신되는 메일 내용과 동일한 지 어떤지, 기재된 URL이 적절한 것인지 어떤지를 확인하는 것을 먼저 종업원에게 철저하게 교육해야만 한다”라고 조언한다.
 
◇다양한 사이버 공격에는 공통점이 있다
표적형 공격을 시작으로 하는 지금의 사이버 공격을 분석해보면, 다음과 같은 수순을 따르는 공격이 많다고 지적한다.
 
-초기 잠입: 표적형 공격 메일 및 USB메모리, Web 사이트와 같은 수단으로 공격 대상기업의 시스템을 맬웨어로 감염시킨다.
-공격 기반 구축: 공격에 성공해서 침입한 시스템에 백도어를 설치하고 외부 서버와 통신하도록 새로운 맬웨어를 설치한다.  
-시스템 조사: 기밀정보가 존재하는 시스템의 장소를 타깃으로 한다.
-공격 최종 목적 수행: 공격 전용의 바이러스로 공격을 수행한다.
 
「공격 최종 목적 수행」에 이용되는 공격용 바이러스는 공격의 종류에 따라 다르지만, 「공격기반구축」과 「시스템 조사」에 이용되는 맬웨어나 코드는 대부분의 공격에서 공통으로 이용되고 있다. 이 때문에 공격기반구축과 시스템 조사를 막는 것이 표적형 공격을 효율적으로 막는 열쇠가 될 수 있다.
 
◇표적형 공격 대책, 3가지 관점에서 대처해야
표적형 공격의 구체적인 대책을 시스템 면에서 보면 구체적인 대책으로 입구대책, 출구대책, 정보보호 감시 및 관리체제 등 3가지 부분에 착안해야 한다.
 
1)입구대책은 시스템의 입구와 경로에서의 방어, 취약성 대책, 표적형 공격 루트의 대책과 같은 사외로부터의 공격 경로에서의 방어를 중심으로 구성한다.
-시스템의 입구와 경로에서의 방어: 방화벽이나 바이러스 대책 소프트웨어, 침입방어시스템(IPS) 의 도입, 네트워크로부터의 중요 서버 격리
-취약성 대책: 소프트웨어의 정기적인 취약성 진단이나 시큐리티 패치 적용, 웹방화벽 도입
-표적형 공격 루트 대책: 필터링 도입이나 외부기억매체의 이용 제한 등이 필요하다.
 
2)출구대책 정보보호는 바이러스 활동의 저해와 억제, 액세스 제어, 정보의 암호화와 같은 맬웨어 감염을 전제로 한 대책으로 구성한다.
-바이러스 활동의 저해와 억제: 부서간 네트워크 통신의 제한이나 네트워크 유통 감시
-액세스 제어: 이용자 인증이나 안전한 웹 어플리케이션의 화이트리스트화
-정보의 암호화: 통신경로나 파일의 암호화, 암호키 관리 등이 필요하다.
 
3)감시, 관리체제는 시스템 감시, 로그 분석, 관리 통제와 연속성 계획과 같은 관리 체제의 정비를 중심으로 구성한다.
-시스템 감시, 로그 분석: 네트워크나 서버의 로그 취득이나 분석, 감사
-관리 통제와 연속성 계획: 시큐리티 정책의 책정이나 그룹회사간의 시큐리티 거버넌스, 기기대응체제 정비 등이 필요하다.
 
일본 보안전문가는 “특정 분야에 한정하는 것이 아니라 3가지 분야에 대해서 착실한 대책을 마련하는 것이 중요하다”고 강조했다. [박춘식 서울여자대학교 정보보호학과 교수]