지난 3월 20일 발생한 사이버테러 이후 각 공공기관 뿐만 아니라 민간 기업에 이르기까지 APT(Advance Persistent Threat, 지능형 지속가능 위협)라는 용어 그리고 APT로 인해 발생 가능한 것이 아닌 실제 막대한 피해 사례가 나타나면서 더욱 관심이 고조되고 있는 형국이다.
 
하지만 아직까지도 APT에 대한 정확한 정의 그리고 기업이나 조직 내에서 APT에 효과적으로 대응할 수 있는 기본적인 가이드조차도 부족한 것이 현실이다.
 
이번 기고에서는 APT에 대한 현실적인 대처 방안과 기업 및 조직의 보안 인프라에서 구축할 때 고려해야 할 사항에 대해 언급하고자 한다.
 
출처나 유래를 떠나서, APT 공격은 방화벽, IDS/IPS, Antivirus와 같은 전통적인 보안 솔루션이 결합된 체계에서 예방, 진단 및 차단이 어렵거나 불가능한 새로운 공격 방식을 말한다. 특히 제로데이와 사회공학적 공격이 가미되면서 보다 탐지가 어려운 경우가 많다.
 
특히, 백신 회사에서 “APT 등으로 인한 공격으로부터 회피하기 위한 수단으로 APT는 예방이 어렵다. 새로운 기술을 개발 중이다. 개발한 제품을 도입했다면 차단이 가능했었다” 등의 여러 가지 언론플레이가 나오고 있다. 하지만 APT가 나온 것이 이번 경우가 처음일까? 분명 이메일이나 웹사이트를 통해 감염된 실제적인 파일에 대해서 진단하지 못한 부분에 대해서는 고민이 필요한 부분이다.
 
◇APT는 어떻게 공격이 이뤄지는가?
후천성면역결핍증(AIDS)가 1980년대 초반에 아프리카의 풍토병에서 전세계로 퍼져나가면서 일약 알려지게 되었다. AIDS를 언급한 이유는 바로 바이러스의 출처가 어디인지 그리고 어떻게 퍼져갔는지에 대한 역학 조사가 이뤄져야만 실제적인 예방이나 치료할 수 있는 발판을 마련하기 때문이다.
 
앞에서도 언급했다시피, APT는 기존 전통적인 보안 장비를 모두 우회하거나 탐지할 수 없도록 교묘하게 제작된 것으로 알려져 있으며, 주로 웹사이트를 통한 감염과 이메일을 통한 감염 2가지로 나눌 수 있다.
 
① 웹(Drive-by-Download)
보통 웹사이트를 통해 감염된다는 의미는 게시물이나 자료실에서 악성코드에 감염된 파일을 다운로드하여 그를 통해 감염된다는 뜻이다. 하지만 수년 전부터 국내에 유행하기 시작한 드라이브바이다운로드(Drvie-by-download)는 보안 패치가 충분치 못한 PC이용자가 악성코드가 삽입된 웹사이트에 방문하는 것 자체만으로 사용자의 인지 없이 자동으로 악성코드가 다운로드 및 실행되어 감염되는 방식으로 현재까지도 꾸준히 사용된다. 참고로, 해외에서는 이러한 공격을 표적 공격(Watering hole attack)이라고 부르지만, 이미 국내에서는 보편화된 상태이다.
국내에서는 Active-X라고 하는 전 세계에서 유례없는 다운로드 방식을 고수하고 있지만, 현재 APT공격에 사용되는 경우는 미미한 편으로 볼 수 있다.
 
② 이메일
스팸 이메일을 통해 APT 공격을 수행하며, 이 또한 2가지 형태로 나눌 수 있다. 첫째는 앞서 언급한 것과 유사한 것으로 이메일의 본문에 악성코드가 삽입된 웹사이트 링크를 넣어 둠으로써 사용자가 이를 클릭해 감염되는 방식이다. 다른 하나는 바로 첨부파일에 대한 공격으로 이 또한 다시 세부적으로 2가지 방식으로 나눌 수 있다.
 
1)첨부파일이 실행파일인 경우: 대부분 스팸 차단 장비 또는 S/W를 통해 미연에 손쉽게 차단할 수 있으며, 대표적인 예로는 구글이 있다. 심지어 구글에서는 ZIP으로 압축된 파일 내에 포함된 실행파일이 있는 경우까지도 차단한다.
2)첨부파일이 DOC, HWP와 같은 문서파일인 경우: 특정 애플리케이션의 취약점 특히 제로데이 취약점을 이용하여 하는 공격으로 전통적인 안티바이러스, 안티스팸으로는 진단 및 차단이 어려우며 대부분 가상 머신 또는 유사한 솔루션으로만 진단할 수 있다.
 
◇APT 공격을 막으려면?
APT 공격은 앞에서도 언급했지만, 단순하게 공격이 이뤄지는 것이 아니라 가장 먼저 사용자를 속이는 행위가 수반된다. 그 후 전통적인 보안 솔루션을 우회할 수 있는 다양한 기술을 사용하게 되며, 마지막으로 정보를 빼내거나, 자료를 파괴하는 등의 실제 악성코드 행위가 나타나는 특징을 보인다. 결론적으로 말해서, 하나의 방안으로는 해결할 수 없으며, 기존 보안 체계와 연계하여 빈틈이 없도록 보완하는 체계로 진화해야 한다.
 
1. 사용자의 보안 인식 개선 및 PC 보안 강화
대부분의 APT 공격은 사용자를 속이거나, PC의 보안 취약점을 이용하는 경우가 많다. 따라서 APT 대응이 전에 사용자에게 현재 발생하는 보안 사고의 동향 및 대책, 그리고 PC의 보안 정책의 시행 및 이행 결과 점검이 가장 필요하다. 물론 성능이 검증된 백신의 사용도 반드시 수반되어야 한다.
 
2. APT 공격의 사전 탐지 및 예방
특히 웹사이트를 통해 감염되는 APT 관련 악성코드는 사전에 동일한 형태의 데이터를 수집 및 가공하여 APT에 관련된 사전 탐지 정보를 이용하여 예방할 수 있는 방안을 고려해야 한다. 대표적인 예로는 구글이 제공하는 Stopbadware로, 실제 사용자의 입장에서는 크롬이나 사파리 브라우저를 사용할 때 사전 탐지 정보가 제공된다. 즉, 악성코드가 유포되고 있거나 최근에 유포된 적이 있는 웹사이트 방문이 이러한 정보를 사용자에게 알려 방문하지 못하게 하거나 방문하더라도 위험할 수 있다는 인식을 주는 등의 장점을 제공한다.
 
3. APT 공격 탐지시 전문가의 필요 여부
사전 탐지 및 예방 단계를 우회하는 APT 공격이라면 이미 기업이나 조직의 네트워크 또는 PC에 악성코드가 감염되고, 그 이후의 추가적인 공격이 가능한 상태 즉, 좀비PC로 동작하는 상태로 이미 위험한 상태라고 말할 수 있다.
 
사후 대응적 측면이라고 볼 수 있지만, APT 대응 솔루션은 좀비 PC의 활동, 예를 들면, C&C 봇넷으로 연결하는 정보 등을 분석하여 좀비 PC 여부를 탐지하여 보안 관리자에게 알려 주는 기능을 제공한다. 이 경우 보안 관리자는 기업 내의 담당자로 충분한지, 아니면 외부 전문가가 참여하여 정보를 분석하고 대응해야 하는지 살펴 볼 필요가 있다. 두말하면 잔소리지만, 기업 내의 담당자가 판단하고 대응할 수 있는 경우에야 빠른 대응이 가능하다.
 
4. APT 공격 탐지시 차단
좀비 PC가 발견되면 해당 PC는 포맷하는 등 손쉽게 대응할 수 있지만, 내부에서 외부로 연결하는 C&C 정보 등이 있는 경우에는 차후의 공격 등을 예방하고, 동일한 공격으로 내부에 감염된 PC를 찾아내기 위해 차단 정보를 네트워크 장비 등에 등록할 수 있어야 한다. 이 경우도 3항과 마찬가지로 보안 전문가가 필요한지 확인해야 한다. 특히, APT 탐지하는 장비/솔루션에서 차단 기능을 제공하는지 여부도 확인해야 하며, 그렇지 않은 경우에는 기존 보안인프라에서 차단할 수 있도록 기능 확인 및 관련 절차를 마련할 필요가 있다.
 
5. 기존 보안 인프라에서 사용되는 DB와 중복 여부 확인
APT 공격을 수행하는 공격자는 기존 IDS/IPS 패턴, 안티바이러스 패턴 등을 사전에 검증하여 탐지하기 어렵도록 우회한다. 따라서, 기존 보안 인프라에서 사용되고 있는 Snort Rule, Antivirus Signature 들은 목록화하여야 하고, APT 탐지 장비/솔루션과는 중복되지 않도록 해야 한다. 특히, 일부 APT 차단 장비/솔루션은 Antivirus 엔진을 기반으로 하는 경우가 많아 그런 경우 해당 Antivirus의 엔진을 우회하는 경우 APT 장비/솔루션 또한 우회할 수 있는 가능성이 높아지므로 더욱더 주의가 필요하다.
 
종합적으로 살펴보면, 초기 감염 경로를 확인하고 위험요인을 지속적으로 제거해야 한다. 또한 관찰을 통해 각 부분별로 협력적으로 연계되도록 하여 APT의 문제를 해결해야 할 것이다. 단순히 실행기반으로 위험성을 판별하거나, 패턴을 통해 탐지를 하는 방식으로는 단편적인 대응만이 가능하다. 초기 관찰을 통해 위험요인을 줄여나가고, 보유하고 있는 각 보안장비들을 효율적으로 활용 할 수 있도록 다양한 관찰 결과들을 즉시 반영 할 수 있어야 APT의 위험으로부터 점차적으로 벗어날 수 있다. 모든 해결의 전제는 초기 위험요인에 대한 집중적인 관찰과 정보획득이 가장 우선적인 요구사항이 될 것이다.
 
[글. 빛스캔 문일준 대표]