지난 한 해, APT 공격의 특성상 조직이나 기업의 내부적인 피해보다는 고객정보 및 서비스와 관련된 외부적인 피해가 발생하지 않는 한 겉으로 크게 공개되지 않는 점을 감안하면, 이렇다 할 크게 알려진 APT 공격 사례는 많지 않았다. 하지만 실질적으로 APT 공격에 대한 시도 및 외부로 알려지지 않은 APT 공격, 계속 진행 중인 APT 공격은 생각하는 것보다 매우 많이 빈번하게 이루어지고 있다. 그렇다면 이러한 APT 공격은 2013년, 계사년을 맞이하여 어떻게 변화되고 진행될까?
 
◇계속되는 문서 취약점을 이용한 내부 감염 시도
주로 공격자들은 손쉽게 내부에 침투하기 위해 이메일 등을 통해 첨부파일로 문서 악성코드를 전달하는 방식을 가장 많이 사용한다. 업무 처리의 상당 부분이 문서를 통해 이루어지기에 사용자들은 문서 파일들을 항시 열람할 수 밖에 없다. 또한 문서가 정상적으로 열람되어 본문 내용이 보여지면서도 사용자 모르게 악성코드를 설치할 수 있는 점은 상당히 공격자들에게 매력적이다.
 
특히 국내를 대상으로 한 APT 공격에는 국내에서 많이 사용하는 ‘한컴 오피스’의 한글 파일이 많이 사용된다. 작년 한 해 한글 파일을 이용한 APT 공격에는 알려진 것만 무려 4건의 제로데이 취약점이 사용되었다. 아직까지 샌드박스 등과 같은 보안 기술을 채용하지 않은 한컴 오피스에는 상당한 취약점들이 잔존하기에 계속해서 공격에 사용될 것이다. 이처럼 올해에도 제로데이 취약점 등 문서 파일을 통해 내부에 침투하기 위한 시도는 계속될 것이다.
 
◇기관장, 원장을 직접적으로 노린다
조직 및 기관, 기업의 장들은 실질적으로 최종 결재를 수행하는 등, 가장 중요한 역할과 권한을 가지고 있다. 또한 정보 보유 면에서도 흔히 공격자들이 말하는 “큰 건”, 핵심정보들을 다룬다. 게다가 장들은 보안정책으로부터 상당 수 예외를 받기도 하며, 대부분 연령대도 높아 보안적인 면에서 보았을 때는 상당히 취약하기도 하다. 실제로 최근에는 직접적으로 기관장 및 원장들의 개인 이메일 등을 대상으로 시도되는 공격이 증가하고 있다. 올해 역시 그들을 향한 공격자들의 사랑은 더욱 깊어질 것으로 예상된다.
 
◇새 정부를 대상으로 한 신규 부처에 대한 공격 증가
2013년은 새로운 정부가 시작되는 한 해이다. 대통령 당선자의 공약과 생각에 따라 정보통신방송부, 미래창조과학부 등 새로운 부처들이 신설될 예정이다. 특히 국가의 핵심 경쟁력이 되는 해당 부처들은 그 동안 외부 조직에 노출된 적이 없던 새로운 부처들이기에 공격자들의 호기심과 흥미를 불러일으키고 신규 정보들을 수집하고자 신설 초기 해당 부처들을 향한 공격은 줄을 이을 것으로 생각된다.
 
◇국가가 지원하는 사이버전 성격의 APT 공격
정보 획득이 가장 중요한 현대전에서 특히나 많은 기밀정보들을 손쉽게 얻을 수 있는 사이버상에서의 APT 공격은 사이버전의 양상을 띠며 그 배후에 국가가 관여하게 된다. 특히 국가가 지원하는 APT 공격은 최고의 전문가들이 정교하게 제작하여 치밀하게 공격을 수행하기에 더더욱 APT 공격 사실을 인지하거나 외부로 알려지는 것이 드물다. 또한 정보 획득 외에도 핵무기화 방지, 경쟁 국가의 기술 발전 방해 등 적극적 공격 형태의 공격도 뒤를 잇고 있다. 실제로 스턱스넷과 같이 특정 국가의 산업기반시설을 파괴하는 APT 공격에 국가가 관여한 사실이 드러났다. 미국과 중국 간의 주도권 경쟁, 동북아시아 패권 경쟁, 중동과 서방국가의 경쟁 등에 국가의 지원이 뒤이을 것으로 예상되며, 특히나 북한의 남한에 대한 정보 획득 및 파괴를 위한 APT 공격에 대한 활발한 지원이 있을 것으로 예상된다.
 
◇스마트폰을 통한 무선-to-유선 내부망 터널링 침투 공격
스마트폰 사용자에 대한 폭발적인 증가와 업무에 대한 스마트폰 활용도가 높아진 시점에서 앞으로 APT 공격의 내부 침투 경로로 스마트폰이 적극적으로 활용될 것이다. 조직 및 기업의 특정 사용자를 식별함에 있어 이메일 다음으로 유용한 것이 바로 스마트폰 번호이다. 내부 사용자에 대한 스마트폰 번호를 알고 있을 경우, 해당 사용자에 SMS 등을 통해 악성코드를 전달하여 해당 스마트폰을 장악할 수 있다. 이후 스마트폰의 3G/4G 등 무선망 네트워크를 통해 명령을 전달하고 해당 스마트폰이 조직 및 기업의 내부 네트워크망에 연결되거나 PC와 USB 등을 통해 연결되었을 때 여러가지 악의적인 행위를 수행하여 내부 시스템을 파괴하거나 또는 정보를 수집하여 다시 3G/4G 망을 통해 외부로 유출할 수 있다. 실제로 최근 공격자들이 스마트폰을 이용한 공격에 대한 기술들을 많이 발전시키고 있으며, 올해는 그러한 위협이 정말 현실이 되어 이루어질 것 같다.
 
◇Windows 8에 대한 이해와 공격 기술의 APT 공격 활용
지난 해 Windows 8 출시와 함께 올해는 많은 조직 및 기업들이 속속들이 운영체제 환경을 Windows 8로 변경하기 시작할 것이다. Windows 8은 기존 운영체제에 비해 많은 부분 보안적인 면이 개선되었다. 특히 취약점을 공격하거나 악성코드를 유포하는 관점에서 개선된 보안 기능들이 APT 공격에는 방해 요소가 될 것이다. 하지만 공격자들은 Windows 8 출시 이전부터 그러한 보안 요소를 무력화하기 위한 많은 연구들을 수행했다. 그렇게 연구된 Windows 8에 대한 이해와 공격 기술들이 바로 올해부터 APT 공격을 위한 무기로 적극적으로 활용되기 시작할 것이다.
 
◇소프트웨어 자동 업데이트 기능을 이용한 선택적 APT 공격
소프트웨어 자동 업데이트 기능은 이미 사용자의 신뢰에 의해 설치된 소프트웨어가 자동으로 업데이트하여 추가적인 파일을 설치하는 기능이다. 이러한 기능은 공격자가 소프트웨어 배포 업체의 업데이트 서버를 해킹하여 업데이트 파일을 변조한다면 사용자 입장에서는 정상적인 업데이트로 악성코드가 설치되는 것이기에 쉽게 발견하기가 어려우며, 외부에서 접근이 어려운 사용자에 대해서도 기존에 설치된 소프트웨어를 통해 쉽게 악성코드를 감염시킬 수 있다. 특히나 업데이트 서버에서 특정 조직 및 기업 사용자들의 접속만을 식별하여 설치할 경우 선택적인 APT 공격이 가능하다. 이러한 방법은 은밀하게 악성코드를 설치할 수 있기에 APT 공격자들에게는 매우 매력적인 방법일 것이다.
 
◇클라우드 서버를 직접적으로 겨냥한 APT 공격 증가
기업들이 조금씩 클라우드 서버를 데이터 저장 공간으로 사용함에 있어 클라우드 서버에 대한 직접적인 공격을 통한 기업들의 자료들을 노리는 APT 공격이 증가할 것으로 예상된다.
 
◇이메일 프로토콜을 이용한 C&C 운영
APT 공격의 명령제어를 위한 C&C 프로토콜로 Gmail 등과 같은 이메일 프로토콜을 사용하는 공격이 증가할 것으로 생각된다. 이메일 프로토콜을 사용할 경우 정상적인 이메일 트래픽과 구분이 어려워 네트워크 탐지 장비를 우회할 수 있으며, 특히 SSL과 같은 암호화 보안 프로토콜을 사용할 경우 탐지가 더욱 어려워진다. 또한 이메일의 제목, 첨부파일 등을 통해 명령을 전달하거나 본문 및 첨부파일을 송신하여 정보들을 외부로 쉽게 유출할 수 있어 APT 공격의 C&C 프로토콜로 사용이 증가할 것이다.
 
[글. 최상명 하우리 선행연구팀 팀장 sionics@hauri.co.kr]