2020-08-04 00:10 (화)
표적공격 및 APT 공격, 시만텍 대응 방안
상태바
표적공격 및 APT 공격, 시만텍 대응 방안
  • 길민권
  • 승인 2012.10.19 02:17
이 기사를 공유합니다

APT와 표적공격 지속적 발생…공격자들 신종 공격기법 학습
주요 지적재산 겨냥한 공격 급증…대응책 마련해야
2010년 스턱스넷(Stuxnet), 2011년 이와 유사한 ‘듀큐(Duqu)’, 전세계 화학 및 방산업체를 공격한 ‘니트로(Nitro)’ 등의 ‘지능형 지속공격(APT, Advanced Persistent Threat)’이 발생한 데 이어 올 6월에는 이란과 중동지역에서 국가 기간시설에 침투해 중요 정보를 빼돌려온 악성코드 ‘플레이머(W32.Flamer)’가 발견돼 충격을 주었다.
 
이처럼 APT를 포함한 고도의 표적공격(Targeted Attack)이 지속적으로 발생함에 따라 다른 사이버 범죄자들이 이를 통해 공격자의 웹사이트에서 자동으로 돌연변이 악성코드를 생성하는 서버측 다형성 공격(Polymorphism)과 같은 새로운 공격기법을 배우고 있으며, 소셜 네트워크와 사회공학적 기법을 접목한 표적 공격이 일반화되고 있다. 또한 APT 공격이 주요 지적재산을 겨냥하고 있다는 사실은 산업스파이 활동에서 사이버범죄자들이 정보 브로커로 활동할 수 있다는 점을 시사한다.
 
주목할 점은 정부 기관이나 대기업뿐만 아니라 중소기업들도 주요 표적이 되고 있다는 점이다. 지난 5월 시만텍은 ‘인터넷 보안 위협 보고서(ISTR) 제 17호’를 통해 2011년 발생한 표적공격의 절반 이상이 직원수 2,500명 미만의 기업을 겨냥하고 있으며 직원수 250명 미만의 사업장을 겨냥한 표적공격도 18%에 달했다고 분석한 바 있다.
 
하지만 지난 8월 발표한 2012년 상반기 분석에서는 소기업을 겨냥한 표적공격이 18%에서 36% 이상으로 급증했는데, 소기업의 경우 지능적인 사이버 공격을 감시할 전담 IT 인력이 부재해 협력관계에 있는 대기업을 겨냥한 표적공격의 전초기지로 삼기가 수월하기 때문이다.

 
◇APT 공격 방법=보다 정교한 표적공격인 APT 공격은 침투, 검색, 수집 및 유출의 4단계로 실행되며, 각 단계별로 드라이브바이다운로드(Drive-by-downloads), 제로데이 취약점, 루트킷 기법, SQL 인젝션, 악성코드, 피싱, 스팸 등 다양한 공격기법들을 종합적으로 사용한다. 
 
-1단계: 침투(Incursion)
일반적으로 표적 공격시 해커들은 훔친 인증정보, SQL 인젝션, 표적 공격용 악성코드 등을 사용하여 목표로 삼은 기업이나 조직의 네트워크에 침투한다. APT도 이러한 공격 방법들을 사용하지만 오랜 시간에 걸쳐 공격 대상 시스템에 활동 거처를 구축하는데 초점을 맞춘다.
 
•관찰(Reconnaissance): APT 공격자들은 표적으로 삼은 시스템, 프로세스 및 파트너와 협력업체를 포함한 사람들을 파악하기 위해 수개월에 걸쳐 공격 목표를 철저히 연구하고 분석한다. 이란 핵 시설을 공격했던 스턱스넷의 경우, 공격 팀은 목표로 삼은 우라늄 농축시설에 사용되는 PLC(Prorammable Logic Controllers)에 대한 전문 지식을 보유하고 있었다.
 
•사회 공학(Social engineering): 목표 시스템으로의 침투를 위해 공격자들은 내부 임직원이 실수나 부주의로 링크를 클릭하거나 첨부파일을 열게끔 사회 공학적 기법을 접목하기도 한다. 전형적인 피싱 공격과 달리 이러한 공격은 공격 목표에 대한 철저한 관찰을 통해 진행된다. 가령 공격자가 A라는 기업의 시스템 관리자를 노린다면 공격자는 사전에 이 관리자의 개인 블로그, 트위터, 페이스북 등을 검색해 생년월일, 가족 및 친구관계, 개인 및 회사 이메일 주소, 관심 분야, 진행중인 프로젝트 등의 정보를 수집한 후 이를 이용해 피싱 메일을 보내는 식이다. 
 
•제로데이 취약점(Zero-day vulnerabilities): 제로데이 취약점은 개발자들이 패치 등을 제공하기 전에 소프트웨어 개발자들 모르게 공격자들이 악용할 수 있는 보안상 허점으로 보안 업데이트가 발표되기 전까지는 무방비 상태와 같다. 반대로 제로데이 취약점을 발견 하기 위해서는 상당한 시간과 노력이 걸리는 만큼 가장 정교한 공격 기관만이 이를 활용할 수 있다. APT는 공격 목표에게 접근하기 위해 하나 이상의 제로데이 취약점을 이용한다. 스턱스넷의 경우 동시에 4개의 제로데이 취약점을 이용한 것으로 나타났다.
 
•수동 공격(Manual operations): 일반적으로 대규모 보안 공격은 효과를 극대화 하기 위해 자동화를 선택한다. 일례로 ‘스프레이&프레이(Spray and pray)’로 불리는 피싱 사기는 자동 스팸 기술을 사용하여 수천 명의 사용자들 중 일정 비율이 링크나 첨부파일을 클릭하도록 한다. 반면, APT는 자동화 대신 각각의 개별 시스템과 사람을 표적으로 삼아 고도의 정교한 공격을 감행한다.
 
-2단계: 검색(Discovery)
한번 시스템의 내부로 침입한 공격자는 기관 시스템에 대한 정보를 수집하고 기밀 데이터를 자동으로 검색한다. 침투로 인해 보호되지 않은 데이터나 네트워크, 소프트웨어나 하드웨어, 또는 노출된 기밀 문서, 추가 리소스 등의 경로가 탐색될 수 있다. 대부분의 표적 공격은 기회를 노려 공격을 하지만, APT 공격은 보다 체계적이고 탐지를 회피하기 위해 엄청난 노력을 기울인다.
 
•다중 벡터(Multiple vectors): APT 공격시 일단 악성코드가 호스트 시스템에 구축되면 소프트웨어, 하드웨어 및 네트워크의 취약점을 탐색하기 위해 추가적인 공격 툴들이 다운로드 될 수 있다.
 
•은밀한 활동(Run silent, run deep): APT의 목표는 표적의 내부에 잠복하면서 장시간 정보를 확보 하는 것이므로, 모든 검색 프로세스는 보안탐지를 회피하도록 설계된다.
 
•연구 및 분석(Research and analysis): 정보 검색은 네트워크 구성, 사용자 아이디 및 비밀번호 등을 포함하여 확보된 시스템과 데이터에 대한 연구 및 분석을 수반한다.
 
APT 공격을 탐지하면 가장 먼저 해당 공격이 얼마나 지속되었나를 살펴봐야 한다. 전형적인 표적 공격으로 계좌 번호가 유출되었다면 데이터가 유출된 날짜나 피해 정도를 평가하기는 그리 어렵지 않다. 하지만, APT 공격을 당했다면 언제 공격을 받았는지 가늠하기가 거의 불가능하다. 침투 및 검색 활동이 매우 은밀히 진행되기 때문에 피해자는 로그 파일을 점검 하거나 심지어는 관련 시스템을 폐기해야 할 수도 있다.
 
-3단계: 수집(Capture)
수집 단계에서 보호되지 않은 시스템에 저장된 데이터는 즉시 공격자에게 노출된다. 또한, 조직 내의 데이터와 명령어를 수집하기 위해 표적 시스템이나 네트워크 액세스 포인트에 루트킷이 은밀하게 설치될 수 있다.
 
•장시간 활동(Long-term occupancy): APT는 오랜 기간 지속적으로 정보를 수집하도록 설계되었다. 예를 들어, 2009년 3월 발견된 고스트넷(GhostNet)으로 알려진 대규모 사이버 스파이 사건은 103개 나라의 대사관, 외국 부처 및 기타 정부 기관을 포함해 인도, 런던 그리고 뉴욕의 달라이 라마의 티벳 망명 센터 컴퓨터 시스템에 침투하였다.
 
‘인포메이션 워페어 모니터(Information Warfare Monitor)’ 보고서에 따르면, 고스트넷은 2007년 5월 22일에 데이터를 수집하기 시작해 2009년 3월 12까지 지속된 것으로 나타났다. 평균적으로 감염된 호스트가 활동한 시간은 145일이었고, 가장 긴 감염 시간은 660일이었다.
 
-4단계: 유출(Exfiltration)
APT 공격의 마지막 단계로, 불법 침입자들은 표적 시스템의 제어권을 장악한다. 이 단계를 통해 공격자들은 지적 재산권을 포함해 각종 기밀 데이터를 유출하며, 소프트웨어 및 하드웨어 시스템에 손상을 입힌다.
 
•유출(Exfiltration): 기밀 데이터가 웹 메일 혹은 암호화된 패킷이나 압축파일 형태로 공격자에게 전송된다.
 
•지속적인 분석(Ongoing analysis): 도난된 신용카드 번호가 금전적 이득을 위해 재빨리 이용되는 반면, APT 에 의해 수집된 정보는 전략적 기회를 포착하기 위한 연구에 이용되곤 한다. 이러한 데이터는 이 분야의 전문가들에게 하나의 지침서가 되어 영업 비밀을 캐내거나 경쟁사의 행동을 예측하여 대응 방안을 수립하는데 도움이 될 수 있다.
 
•중단(Disruption): 공격자는 원격 시동이나 소프트웨어 및 하드웨어 시스템의 자동 종료를 야기할 수도 있다. 많은 물리적 장치가 내장형 마이크로 프로세서에 의해 제어되고 있는 만큼 시스템이 교란될 가능성이 커진다. 명령 및 제어 서버는 은밀하게 표적 시스템을 제어하고 심지어 물리적 피해를 야기할 수도 있다.
 
◇APT 공격에 대한 시만텍 대응 방안=APT 공격을 막기 위해서는 기존의 보안 인프라가 갖는 한계를 넘어서 정보 주변을 둘러싼 시스템이 아닌 정보 자체를 보호하는 정보 중심의 보안 전략을 고민해야 한다.
 
정보 중심의 보안 전략은 한마디로 보호해야 할 중요 정보가 어디에 저장돼 있고, 누가 접근 가능한지, 어떻게 보호되고 있는지를 파악해 ‘디지털 정보 지도’를 작성하는 것이다. 이를 위해 보호해야 할 정보가 무엇인지 정의(Define)하고, 검색(Discover)하고, 해당 정보의 사용을 통제(Control)하는 정보보호 프로세스를 마련해야 한다.
 
이와 함께 ▲평판(reputation) 기반 보안 기술 ▲데이터 유출방지(Data Loss Prevention) 솔루션 ▲보안 정보 및 이벤트 관리(SIEM) ▲정보저장소 보안강화 ▲애플리케이션 계층에서 위험한 파일 형식 차단 등 다각도의 정보보호 체계를 갖춰야 한다.
 
다양한 악의적 공격과 활동을 효과적으로 차단하기 위해 기업 내부의 사용자가 인터넷을 사용할 때 웹에서 악성코드 검사를 수행하도록 강제하는 ‘사전 방역’과 네트워크 상의 모든 트래픽을 검사해 일반적인 봇트래픽 패턴을 탐지하고 활성 봇넷을 차단하는 한편, 감염된 PC를 즉각 격리하는 ‘사후 차단’의 역할도 중요하다. 이를 통해 각종 사이버 공격의 네트워크 유입을 사전에 차단하고, 만일 유입되더라도 지속적인 탐지 및 모니터링을 통해 악성활동을 차단, 보안 위협을 최소화 할 수 있다.
 
시만텍 관계자는 “진화하는 사이버 보안 위협에 대응해 평판 기반과 같은 새로운 보안 신기술 도입도 필수적이다. 공격용 툴킷의 확산과 악성코드 변종의 범람으로 인해 전통적인 시그니처 기반의 보안 솔루션으로는 각종 보안 위협에 대응하기가 점점 더 어려워지고 있기 때문”이라고 말한다.
 
또 “마치 사용자들의 평판을 기반으로 맛집 순위를 매기듯이 평판 기반의 보안 접근법은 전세계 사용자들의 ‘대중의 지혜’를 모아 프로그램마다 평판을 전산화하며 극소수의 사람들이 가지고 있는 프로그램을 다운로드하고자 할 경우 이를 제지하고 최상의 선택을 권고한다”며 “결국 그러한 극소수의 프로그램들은 매우 전문적인 소프트웨어이거나 임의로 생성된 바이러스일 것이기 때문”이라고 설명한다.
 
마지막으로 직원교육을 강화해야 한다고 시만텍은 강조하고 있다. 아무리 좋은 시스템과 보안 솔루션을 구축한다 하더라도 결국 이를 운용하는 것은 사람이고 확고한 보안 인식이 갖춰지지 않는다면 보안 사고는 언제라도 일어날 수 있다는 것.
 
시만텍은 또 “불의의 사태에 대비해 민방위 훈련을 하듯, 기업들도 보안 가이드라인을 마련하고 정기적으로 인터넷 안전, 보안 및 최신 위협에 관해 직원교육을 실시하는 한편, 교육을 통해 정기적인 비밀번호 변경 및 모바일 기기 보안의 중요성을 알려야 한다”고 강조한다.
 
APT 공격 대응 시만텍 보안 솔루션으로는 인터넷 보안 위협 차단 ‘시만텍 웹 게이트웨이 5.0’, 클라우드 기반의 3세대 통합보안 솔루션 ‘시만텍 엔드포인트 프로텍션 12’, 엔터프라이즈급 IT 리스크 및 컴플라이언스 관리 솔루션 ‘시만텍 컨트롤 컴플라이언스 스위트 11’, 개방형 데이터 유출방지 플랫폼, ‘시만텍 DLP 11’ 등이 있다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com