[박춘식 교수의 보안이야기] 악질적인 공격자 그룹에 의해서 조직화된 표적형 사이버 공격이 사회적으로 주목을 많이 받고 있다. 지금까지 군사기관, 정부기관, 군부의 컴퓨터는 물론 세계적인 기업도 대상이 되어 왔다.
 
처음으로 공격에 관한 목적이나 동기로부터 특징을 구분하도록 한다. 특히 관심이 높아지고 있는 심각한 표적형 사이버 공격의 특징은 특정 조직이나 개인이 가진 기밀 정보를 얻기 위해 상세한 사전 조사를 하고 있는 것이다. 이번에는 특정 조직, 개인의 기밀정보 탈취, 중요 기능의 정지 등을 목적으로 하는 사이버 공격을 열거하도록 한다.

 
◇표적형 사이버 공격의 메커니즘=심각화하는 위협의 대표 예로써 최근 보인 표적형 사이버 공격을 해설한다. 이번 대상의 특징은 특정 타깃에 대해서 지속적으로 실행되는 심각한 사이버 공격이다. 목적도 경제적 또는 정치적인 이익으로 테러 조직, 활동가 단체, 범죄자 조직 등에 실행되는 경우도 있다.
 
타깃은 주류 미디어, 정부, 군사기업, 학술기관 등의 조직이나 수요가 많으며 기밀성이 높은 정보를 관리하는 권한을 가진 개인이다. 공격을 당한 조직은 기밀정보가 유출됨과 동시에 여러 통신이 감시되어 업무 방해 등의 피해를 받게 된다.
 
특히 세련된 공격에는 아직 공표되지 않은 제로데이 취약성을 악용하는 경우도 있어 패치 프로그램의 적용이나 종래의 블랙 리스팅 기술만으로 대처하는 것이 어렵게 되고 있다. 이와 같은 공격의 특징에는 3가지 단계가 있다. 지금까지 확인되고 있는 Operation Aurora、Stuxnet、 Night Dragon을 포함하여 공격의 대부분이 이들 3단계로 나누어져 있다.
 
1.서비스 또는 어플리케이션의 취약성을 이용
2.메모리 또는 디스크에 Payload를 작성하여 실행
 
◇제압 완료=그러면 이들의 공격으로부터 기업을 지키기 위한 솔루션은 존재하고 있는 가. 패턴 매칭형의 블랙 리스팅 기술에서는 행위 검출은 100%가 아니며 제로데이 취약성의 시그니처가 언제나 이용될 수 있는 것도 아니다.
 
그래서 많은 공격자는 제로데이 취약성을 이용해서 2단계로 나아간다. 실제로, Stuxnet(스턱스넷)에서는 4건의 제로데이 취약성이 사용되었다. 취약성을 악용하는 공격자는 Payload를 실행하여 지휘통제의 중추에 접속하여 키로거, 스니퍼 등, 더욱 악질적인 코드를 설치한다. 이와 같은 공격을 모든 단계에 있어서 막기 위해서는 화이트 리스팅 기술도 유효하다.
 
먼저, 버퍼오버플로우 탐지/보호에 의해 공격자가 취약성을 이용할 수 없도록 하는 것이다. 또한, 공격자가 취약성의 이용에 성공할지라도 Payload가 화이트리스트에 기재되어 있지 않기 때문에 디스크나 메모리로부터 실행되는 경우는 없다. 이와 같은 공격에 대한 시큐리티 모델로는 화이트 리스팅과 블랙 리스팅 양쪽의 솔루션의 검토도 유효하다.
 
◇시큐리티 대책 확인 포인트=이와 같은 공격의 대책은 기술에만 의존하지 않고 주의를 요하거나 현황 확인 등, 기본을 지키는 것이 중요하다. 그래서 이러한 방법을 시큐리티 운용 가운데에 적용하는 것이 가능하다면 공격에 의한 피해를 최소화할 수 있는 가능성이 높아지게 된다. 맥아피가 권고한 주요한 확인사항을 다음과 정리하였다.

 
◇유효한 대책 포인트=상황 확인의 다음으로 필요한 것은 대책이다. 고도의 표적형 공격은 대상을 상세하게 조사한 상황에서 공격을 실시하기 때문에 늘 완벽하게 방어하는 것은 어렵다는 사실을 이해하는 것이 필요하다. 그렇다고 해서 대책을 마련하지 않아도 좋다는 의미가 아니다
 
-다층의 방어 수단을 준비할 것
-공격의 일부가 성공할지라도 완료하지 않을 것
-공격이 성공하여 피해가 발생하여도 피해가 적은 때에 막을 발상이나 공부를 해둘 것
 
대책은 한번만의 도입으로 끝나는 것이 아니라 계속적으로 취약성 등의 위험을 평가하여 확인과 개선을 운용에 적용하는 것이 중요하다. 각 대책 포인트를 다음처럼 확인할 것
 
-엔드포인트 대책
-네트워크 대책
-데이터 시큐리티 대책
-시큐리티 관리
 
중요한 것은 정보 수집에 머물지 않은 채 조사를 행하는 것이다. 또한 한번의 조사로 끝나는 것이 아니라 정상적으로 시스템 전체의 취약성을 파악하여 제어하는 메커니즘을 운용에 적용하는 것이다. 시큐리티의 세계에서는 다층 방어의 중요성은 옛날부터 인식되어 왔다.
 
특히 위협이 심각화함에 따라 네트워크 시큐리티와 시스템 시큐리티, 블랙 리스트형과 화이트 리스트형의 조합 등 다층의 방어 수단을 준비할 것, 공격의 일부가 성공할지라도 완료하지 않을 것, 또한 공격이 성공해서 피해가 발생하여도 피해가 적을 때에 탐지를 막는 발상이나 공부가 필요하게 된다.
 
<조직 내부의 약점을 노린 공격 대책>
-공격이 성공하기 어려운 환경의 구축
-일부의 공격이 성공하여도 피해가 확대되기 전에 탐지하여 대책 이 될 수 있는 메커니즘
-교육 철저
-정책 관리
-취약성의 효과적인 관리
-기밀 데이터의 보호
-이변, 시큐리티 관련 업데이트의 관리와 대응 프로세서의 확립
[박춘식 서울여자대학교 정보보호학과 교수]