2020-01-26 18:15 (일)
APT 방어, 전방위 융합보안 체계 필요
상태바
APT 방어, 전방위 융합보안 체계 필요
  • 길민권
  • 승인 2011.08.19 11:25
이 기사를 공유합니다

외부공격과 내부에서 유출되는 것 동시에 감시 및 대응해야
악성코드와 해킹의 결합이 이루어지면서 다양한 공격들이 시도되고 있다. 특히 악성코드에 의한 네트워크 공격이 가능해지면서 금전적 이득을 넘어 사회적 혼란도 야기시킬 수 있는 상황에까지 오게 됐다. 특히 APT(Advanced Persistent Threat; 지능형 타깃 지속 공격)는 농협과 SK컴즈 사건을 통해 강력한 공격형태임이 입증됐다. 따라서 사이버 범죄자들은 APT 방식으로 계속해서 타깃을 공격할 것이고 이를 방어하는데는 많은 노력이 필요할 것으로 보인다.
 
19일, 김홍선 안철수연구소 대표는 “APT 공격이 화두다. 발각되기 쉬운 대량살포형 공격보다는 타겟팅 공격이 대세다. 이들은 백신이 자신을 탐지하면 공격하지 않는다. 백신이 탐지 못하는 것을 확인한 후 공격을 시도하는 치밀함을 유지한다”며 “타깃형 악성코드를 만들어 치밀하게 자기가 목표로한 타깃만 공격하기 때문에 이를 보안업체만 막기는 힘들다. 또 솔루션만으로도 힘들고 몇몇 전문가가 나서서 막기도 힘들다. 우리 사회 전체가 노력해야 막을 수 있다”고 강조했다.   
 
이호웅 안철수연구소 시큐리티대응센터장은 “APT 공격은 정보를 취득한 한명만 집중 공격한다. 그래서 악성코드 유포후 공격타깃이 확보되면 기존 악성성코드를 삭제하고 악성코드를 자기가 타깃한 한 명에게만 남겨둔다. 그래서 탐지가 힘들다”며 “자동업데이트를 사용해 무수히 많은 사람들에게 악성코드를 감염시키기는 하지만 자신이 타깃으로 하고 있는 먹잇감이 감염되는지 정확하게 보고 있다가 공격하는 형태”라고 말했다.  
 
APT는 다양한 IT 기술과 방식을 이용해 조직적으로 경제적이거나 사회적인 목적을 위해 다양한 보안 위협을 이용해 특정 대상을 겨냥해 지속적으로 공격한다는 것이 특징이다. 또한 APT의 주된 타깃은 정부기관과 사회 기간 산업 시설, 정보통신 기업과 제조 기업과 금융기관 등이다. 이는 APT 공격자의 목적이 사회적 시위 또는 경제적 이익 확보임을 시사한다. 
 
APT 공격의 대표적 사례로는 스턱스넷(Stuxnet)과 오퍼레이션 오로라(Operation Aurora), 나이트 드래곤(Night Dragon), EMC/RSA 공격이 꼽힌다(보충자료2). 국내의 경우 올 초 발생한 3.4 디도스 공격 이후 특정 대상을 노리는 공격이 증가하는 추세이다.
 
APT 공격자는 기초 정보 수집, 악성코드 침투, 기밀 정보 유출의 과정을 거친다. 즉, SNS 등 다양한 방법으로 공격 대상 조직에 대한 정보를 수집하고, 해당 조직 임직원에게 악성코드 이메일을 보내는 등 지속적인 타깃 공격을 한다. 이후 공격 목표인 조직 내부에서 사용하는 애플리케이션(응용 소프트웨어)의 취약점을 악용해 정보를 은밀하게 빼낸다. 이 같은 APT 공격에 대응하려면 여러 방면에서 전방위 대응이 필요하다.
 
기초 정보 수집에 대응하려면 정책적으로 조직 내부 정보나 구성원의 신원 정보를 통제하고 각종 보안 위협 징후에 대한 내외부 모니터링 및 로그 분석이 지속적으로 이루어져야 한다.
 
또한 악성코드 침투에 대응하려면 구성원이 P2P, 웹하드, SW 자동 업데이트 사이트 접속 시 악성코드에 감염되지 않도록 주기적으로 보안 교육을 하고 PC(엔드포인트)에 설치된 보안 소프트웨어를 주기적으로 관리 및 감독해야 한다. 기업 내부에서 검토 및 인증한 애플리케이션을 대상으로 화이트리스트(White List)를 작성한다. 이후 화이트리스트 이외 다른 애플리케이션이 설치/실행되지 않도록 차단한다. 또한 확인/인가되지 않은 계정이 중요 시스템에 접근하지 않도록 권한을 최소화/차단한다. 아울러 중요 시스템이 있는 네트워크 대역과 일반 임직원이 사용하는 네트워크 대역을 분리해 접근을 원천 차단한다.
 
아울러 기밀 정보 유출에 대응하려면 PC에 설치된 운영체제 및 애플리케이션의 취약점 패치 및 관리를 주기적으로 하고 접근 통제로 정보 유출을 차단하고 데이터 암호화로 기밀 정보가 유출되어도 악용되지 않게 한다.
 
이와 함께 재발 방지 차원에서는 어떤 경로로 기업 내부 네트워크로 침입했고 어떤 시스템과 데이터에 접근을 시도했는지 파악하는 것이 필요하다. 최초 네트워크 내부의 비정상 패킷을 검출하고, 비정상 접근이나 데이터 전송이 발생한 시스템을 파악한 후 디지털 포렌식(Digital Forensic) 프로세스에 따라 자세한 분석을 한다.
 
한편, 공격을 당하는 기관/기업뿐 아니라 악성코드 유포 경로로 악용되는 SW 업데이트 서버의 보안 관리도 중요하다. SW 제공 업체는 업데이트 서버를 설계 단계부터 보안을 철저히 고려해야 하며, 주기적으로 취약점을 점검하고 24시간 365일 모니터링하는 등 철저히 대비해야 한다.
 
안철수연구소는 이처럼 고도의 보안 위협 패러다임 변화에 따라 전방위 융합 보안 체계를 구성해 보안을 강화할 필요가 있다고 역설했다. 융합 보안 체계란 외부에서 들어오는 공격과 내부에서 유출되는 것을 동시에 감시 및 대응하는 종합적인 대책을 말한다.
 
안철수연구소가 제시하는 융합 보안 체계는 2009년부터 준비해온 ‘ACCESS(AhnLab Cloud Computing E-Security Service)’ 전략에서 출발한다. ‘ACCESS’는 ASEC(시큐리티대응센터)의 악성코드 수집 및 분석 능력과 CERT(침해사고대응팀)의 위협 모니터링 및 대응 서비스를 지능형 기술로 받쳐주는 플랫폼이다. 위협의 근원인 악성코드와 해킹 기법을 실시간 수집/탐지/치료함은 물론 악성코드 DB를 생성해 ASEC과 CERT, 제품 및 서비스에 실시간 연계함으로써 신속하고 정확하게 일관된 종합 대응을 할 수 있다.
 
안철수연구소는 V3(엔드포인트 PC 보안 솔루션)와 트러스가드(네트워크 보안 솔루션)를 비롯해 트러스와처(좀비PC방지 솔루션), 트러스라인(화이트리스트 기반 산업용 시스템 전용 보안 솔루션), 트러스존(망분리 솔루션) 등 다양한 제품의 결합으로 APT 공격에 대응책을 제시한다. 향후에는 악성코드 조기 진단 및 유포지 추적이 가능한 핵심 기술인 ASD(AhnLab Smart Defense)를 보안관제 서비스와 접목한 내부 관제 서비스를 출시할 계획이다.
 
안철수연구소 김홍선 대표는 “APT 공격은 공격의 패러다임이 한 단계 진화했음을 보여준다. 그에 맞춰 보안 체계의 패러다임도 바뀌어야 한다. 안철수연구소는 이미 보유한 핵심 기술을 더욱 발전시켜 최적의 해법을 제시함으로써 글로벌 보안 리더의 면모를 다져나갈 것”이라고 강조했다. [데일리시큐=길민권 기자]