최근 기업을 대상으로 이루어지는 대부분의 공격이 APT 형태로 이루어지고 있다. 이에 대한 대응 방안 모색에 보안업계와 기업들이 촉각을 곤두세우고 있다. APT 이슈에 대해 김대환 소만사 대표는 지난 5월 3일 열린 ‘Privacy Global Edge 2012’에서 APT 공격 방어를 위한 단계적 대책에 대해 발표해 관심을 끌었다.
 
우선 APT 공격을 통한 개인정보 유출 과정에 대해 김 대표는 “공격자는 DB접속 권한자의 PC에 악성코드를 배포해서 해킹을 시도한다. 그 방법은 이메일의 첨부파일이나 악성코드 배포 사이트 방문 유도 등으로 타깃 PC를 감염시킨다. 이때 타깃 기관의 요직자를 장기간 꾸준히 지능적으로 공격하는 것이 바로 APT 공격”이라며 “타깃 PC가 악성코드 실행에 의해 장악되면 DB접속 계정과 패스워드를 탈취하고 접속 권한자가 부재중 일 때 마치 인가자가 직접 접속하는 것처럼 자연스럽게 DB에 접속해 개인정보파일을 빼내 외부로 전송하는 식으로 이루어진다”고 설명했다.
 
이에 “APT 공격의 첫 단추인 악성코드 배포를 어떻게 차단할 것인가”가 관건이라고 김 대표는 강조했다. 그렇다면 APT 공격 방어를 위한 단계적 대책은 무엇이 있을까.
 
APT 공격을 가능하게 만드는 상황에 대해 살펴보면, 우선 바이러스 백신의 한계가 문제다. 공격자들은 백신에 걸리지 않는다는 것을 검증한 후에 악성코드를 배포하고 있기 때문이다. 또 알려진 NetApps에 대한 시그니처 차단으로 막을 수 없다는 것, 그리고 인증받지 않은 사용자만 통제하는 것으로는 APT 공격을 막을 수 없다는 점들이다. 공격자는 이미 인가된 DB접근자의 크래딧을 모두 확보했기 때문에 인가자의 권한으로 접근하고 있기 때문이다.
 
이러한 공격을 차단하기 위해서 단계적 방어가 중요하다. 김 대표는 “1단계로 P2P, 웹하드, 음란사이트 접속을 차단해야 한다. 즉 악성코드 배포 페이지를 차단하고 다운로드된 실행파일을 실시간 행위 분석을 해야 한다. 2단계는 엔드포인트에서 리버스 커넥션을 차단하는 것이다. 웹포트 이외 접속을 차단하는 것”이라며 다음으로 “DB방화벽에서 개인정보 다량 취득에 대한 경보와 차단이 필요하고 마지막으로 DLP 등에서 외부로 전송되는 자료들을 통제관리 해야 한다. 물론 PC에 바이러스, 망분리, 패치관리 등도 중요한 부분”이라고 지적했다.
 
정리해보면, 비업무 사이트 카테고리 차단과 악성코드 배포 페이지 접근을 차단하고 다운로드된 파일을 실시간 동적 분석을 통해 악성여부를 확인해야 한다는 것이다. 또 권한있는 DBA의 접속이라도 응답값에 주민번호, 카드번호 등 개인정보가 다량 포함된다면 차단하고 경보를 울려야 한다. 더불어 메일, 웹메일, 웹하드, 웹게시판, 메신저를 통한 개인정보 전송에 대해 통제하고 감사를 해야 한다. 마지막으로 중요한 것은 웹포트로 접속한 터미널 서비스를 차단하고 표준 HTTP를 따르지 않는 웹접속은 모두 차단하는 방안이다.
 
정보유출 차단을 위한 단계별 대응법에 대해 자세히 살펴보자.
 
◇1단계 인터넷 필터핑=최근 악성코드 주요 배포처로 알려진 P2P, 웹하드 사이트는 보안관리가 안되고 방문자 수가 높아서 손쉽게 수만명의 PC를 장악할 수 있는 환경이다. 즉 악성코드를 내려받게 되면 사용자 PC는 공격자의 좀비PC가 되는 것이다. 이 부분을 어떻게 막아야 할까.
 
악성코드 감염은 USB나 CD, 노트북, 스마트폰 등 감염된 단말기를 통해 감염되기도 하고 인터넷을 통해 감염되기도 한다. 메일에 첨부된 파일, 사이트에서 배포하는 프로그램, 악성코드 배포 웹사이트 방문 등이 원인이 되고 있다.
 
내부 PC의 악성코드 감염을 차단하기 위해서는 악성코드에 대한 실시간 분석이 제대로 이루어져야 한다. 악성코드 배포 사이트에 대한 실시간 정보가 필요하고 이를 근거로 악성코드 배포 사이트에 접근할 수 없도록 차단해야 한다. 이를 위해 다운로드된 파일(PE)에 대한 실시간 분석이 필요하고 악성코드 DB 갱신 배포 주기도 예전 1주일 단위에서 10분 단위로 업데이트될 필요가 있다. 또 방대한 악성코드 배포 페이지와 파일 분석을 위해 정적 분석과 동적 분석의 자동화는 필수적인 요소라고 할 수 있다. 김 대표는 “얼마나 빨리 탐지하고 빨리 차단하느냐가 관건”이라고 강조했다.
 
◇2단계 리버스 커넥션(Reverse Connection) 차단=공격의 최종 단계인 개인정보를 빼내 가기 위해서 공격자는 원격에서 타깃 서버에 접속해 명령을 내리고 DB파일을 가져가게 된다. 이때 필요한 것이 리버스 커넥션이다. 해커들이 정보유출을 하기 위해 사용하는 리버스 커넥션을 차단한다면 앞 단에 모든 차단장치들이 뚫렸더라도 최종적으로 정보유출만은 막을 수 있다.
 
기존에는 터미널, 프락시, 터널링 서비스에 대한 차단인 블랙리스트 방식이 주를 이루었다. 하지만 여기에 한계가 드러나고 있기 때문에 화이트리스트 방식으로 전환되고 있다.
 
김대환 대표는 “웹과 SMTP 이외에는 모두 차단해야 한다. 또 표준 웹접속인지, 무늬만 웹접속인지 식별할 수 있는 분석능력이 있어야 한다. 또 NetCat, SSH 통신, Xwindows 통신, VNC 통신 등도 차단해야 한다”고 강조했다.
 
◇3단계 개인정보 처리시스템 이상징후 차단=쉽게 말하면 내용 기반으로 이상징후를 차단하자는 것이다. 개인정보 유출은 결국 쿼리 결과값으로 이루어진다. 그렇다면 DB쿼리 결과값에 개인정보가 다량 포함돼 있다면 차단해야 한다. 이 기능은 주로 DB방화벽(proxy)에서 담당하고 있다.
 
또 주요 데이블과 컬럼에 대한 접근을 통제하고 쿼리 결과값을 PC에 복사, 출력, 저장을 시도할 때도 차단돼야 한다. DB접속 이상징후시 네트워크 보안장비 뿐만 아니라 엔드포인트에서도 화면스냅샷을 찍어 감사증거를 확보하는 것도 중요하다.
 
김대표는 “기존 DB쿼리만을 분석하던 것에서 벗어나 쿼리 결과값에 개인정보가 얼마나 많은지를 감시해야 한다”며 “이를 위해서는 DB 쿼리 결과값 내에 개인정보 감사기능이 중요하다”고 강조했다.
 
◇4단계 웹서버(WAS)를 통한 DB서버 이상 접근 차단=최근 개인정보유출은 WAS 해킹을 통해 DB서버 접속 후 개인정보를 취득해 가는 방식이다. A사와 H캐피탈의 경우도 WAS를 해킹한 경우고 G사는 내부자의 WAS 경유접속을 통해 대형 정보유출 사고가 발생한 것이다.
 
즉 WAS의 DB서버에 대한 이상접속 징후가 발견되면 경보가 필요하다. 이상 징후는 이상 쿼리 발생, 결과값 행수과다, 결과값에 개인정보 등을 포함한 경우일 것이다.
 
김 대표는 “내부자가 웹서버로 DB서버를 접근하는 것이 과연 내부자의 정당한 업무냐 아니면 공격자의 소행이냐를 추적해 내야 한다”며 “통상 하루에 한번 웹에서 DB서버에 1,000건 정도를 조회할 수 있기 때문에 공격자 입장에서는 느긋하게 하루에 1,000건씩 빼가면 전혀 이상징후로 발견되지 않고 정보를 빼내갈 수 있다”고 설명했다.
 
◇5단계 DLP에 의한 외부 전송 통제=인터넷 필터링 솔루션으로 정당한 비즈니스 채널 이외에는 외부 전송이 안되도록 설정하는 것이다. 웹과 이메일 서비스 이외에는 모든 포트를 차단해야 한다. 웹서비스로 우회하는 것도 차단하고 리버스 커넥션도 차단해야 한다. 또 프락시를 경유하는 통신만 허용하는 것이 중요하다.
 
또 DLP 솔루션을 통해 메일, 웹메일, 웹하드, 메신저, 게시판, SNS 등으로 전송되는 개인정보 파일 내용 기록 및 내용기반 차단이 이루어져야 한다. 예를 들어 주민번호 5건 이상이 포함된 웹메일은 차단하는 방식이다.
[데일리시큐=길민권 기자]