최근 공격의 대세인 APT 공격을 알아야 막을 수 있다. 최근 대형 보안 사고 뉴스에는 빠지지 않고 등장하는 ‘APT.’ 일부에서는 ‘현 보안 기술로는 도저히 막을 수 없는 공격’이라고까지 말하고 있지만, 방식을 잘 파악한다면 피해를 예방할 수 있다. 안랩(대표 김홍선 www.ahnlab.com) 측은 APT 공격을 잘 알아야 잘 막을 수 있다는 생각에 APT에 대한 아래의 정보를 안랩 블로그 및 SNS를 통해 배포했다.
 
◇APT공격은 아파트 공격?
초창기 악성코드 공격의 경향은 자신의 실력 과시용이 대부분이었다. 하지만 최근 금전을 노린 기밀 정보 탈취나 실제 금전피해를 야기하는 방식으로 바뀌었고, 이를 위해 공격방식도 매우 지속적이고 지능적인 공격방식으로 바뀌었다. 바로 APT공격방식이 등장한 것이다. 세계적 언론사 뉴욕타임스(NYT) 정보유출, 중동지역 국가기관을 상대로 다년간 정보유출을 시도한 ‘플레임’악성코드, 소니와 해커들간의 대결, 주요 IT기업의 기밀 탈취 공격인 ‘오퍼레이션 오로라’, 이란 원전 시스템을 노린 스턱스넷악성코드, 그리고 국내 방송사와 금융기관을 노린 3.20 사이버테러까지 모두 APT 공격이었다.
 
APT공격이란 ‘Advanced Persistent Threat’의 약자로 ‘지능형 방법으로(Advanced), 지속적으로(Persistent) 특정 대상에게 가하는 보안 위협(Thereat)’을 뜻합니다. 특히, 불특정 다수를 노렸던 과거의 보안위협과 달리 하나의 타깃을 정해 성공할 때까지 지속적으로 공격한다는 점이다. 마치 아프리카 초원의 사자가 먹이감이 방심하는 순간에 공격하기 위해 인내하는 것처럼 APT공격자는 목표 기업의 시스템에 침입하기 위해 개인 PC에서 기업 시스템까지 모든 부분을 노리며 사용자를 끈질기게 공략한다.   
 
◇영화시나리오 같이 치밀한 APT공격 유형
APT공격자는 일반적으로 아래와 같은 단계를 거쳐 공격을 감행한다.  
1)목표 설정 및 사전 조사 -> 2)악성코드 최초 감염 -> 3)내부망으로 확대 및 백도어 및 툴 설치 -> 4)권한 상승 및 탈취 -> 5)내부인프라 장악 -> 6)보안 사고유발
 
위의 단계에서 가장 영화같은 부분이 사전 조사 및 최초 감염의 단계다. 이제 공격자(해커)는 처음부터 중앙 시스템이나 서버 등에 접근할 필요가 없다. 기업/기관의 중요 시스템에 대한 보안은 매우 치밀해서 이를 처음부터 뚫기란 매우 어렵기 때문이다. 따라서 굳이 어려운 방법보다 비교적 공략하기 쉽고 상대적으로 취약한 개인 사용자 PC를 노린다. 먼저 개인PC를 먼저 장악한 뒤 합법적인 권한을 탈취해 내부로 들어가는 것이 다른 공격보다 훨씬 더 쉽기 때문이다.
 
공격자(해커)는 일단 공격대상이 된 기업/기관 내 PC를 최초로 감염시킨 후, 들키지 않고 내부망을 돌아다니며 취약점을 찾거나 지속적으로 정보를 유출한다. 중동지역의 정부기관이나 기업을 노린 ‘플레임’악성코드는 약 2년간 PC에 상주하며 화면에 표시된 내용과 특정 대상 시스템에 대한 정보, 저장된 파일, 연락처 데이터, 컴퓨터 주변 대화 내용 녹화, 메신저 내용 탈취 등 각종 기밀 정보를 탈취해왔다. 따라서 최초감염이 가장 중요한 단계라고 보안 전문가들은 이야기하고 있다.
 
공격자(해커)는 최초 감염을 위해 치밀한 조사를 진행합니다. 타깃으로 삼은 회사의 회사 홈페이지, 컨퍼런스 참여 정보, 행사 정보에서 임직원의 이름과 연락처를 수집하거나 SNS, 블로그, 인터넷 쇼핑몰 등에서 표적으로 삼은 시스템, 프로세스는 물론 내부직원과 협력업체 직원 등 목표에 접근할 수 있는 모든 부분을 조사한다. 이후 믿을만한 지인이나 회사 등으로 가장해 ‘사회공학적(social engineering)기법’의 공격을 감행한다.
 
사회공학적 기법이란 쉽게 말해 인사팀 이름으로 온 ‘연봉계약서 통지’라는 메일이나 ‘학기 계획표’, SNS링크로 사진 보내기 등 사용자가 신뢰하기 쉬운 방식으로 공격하는 공격법(악성코드를 침투시키는 기법)을 말한다. 강아지를 좋아하는 사람에겐 "우리 포메라이언 사진", 여행을 자주 다니는 사람에게 "항공사 공짜 서비스 메일", 등산을 좋아하는 사람에게는 "산악명소 200곳 첨부파일" 을 보내는 등 사전조사로 알게된 정보를 이용 친구나 지인, 회사로 가장해 치밀하게 접근한다. 참고로 해외 기관의 조사에 따르면 APT성 공격에 가장 많이 사용된 것은 ‘악성 피싱 이메일(Spear phishing mail)’이라고 한다. 따라서 타깃이 된 기업/기관의 PC이용자는 자기가 신뢰하는 사람이나 조직이 보낸 것으로 보이는 URL이나 메일에 첨부된 파일을 클릭하는 순간 악성코드에 감염되는 것이다. 이로서 APT 공격의 첫 단계가 완성되는 것이다.
 
공격자(해커)는 목표기관이 사용하고 있는 백신이 자신이 만든 악성코드를 탐지 하는지 못하는지 사전에 테스트를 하기도 한다. 또한 상대적으로 중요한 정보나 DB의 접근 권한을 가진 사람의 PC가 주요 공격대상일 수도 있지만 APT공격에는 이걸 그다지 가리지 않는다. 앞서 설명한 바와 같이 공격자가 타깃으로 삼은 조직의 어느 PC든지 일단 감염시키기만 하면 내부망을 쉽게 돌아다니면서 누구에게든 접근이 가능하기 때문이다.
 
◇목표는 기업이지만 피해는 개인에게도
이처럼 APT위협의 대상은 대부분 기업이지만, 공격자(해커)에게 금전적 이익이 되는 정보들은 대부분 개인정보와 관계가 있는 경우가 많다. 실제로 최근에는 공격자가 사전에 탈취한 개인정보와 안드로이드 악성코드를 결합한 것으로 추정되는 소액결제 피해의 실제사례가 발생하기도 했다. 결국 기업을 노린 APT공격이 개인에게까지 피해를 입힌 셈이다.
 
그리고 APT가 정보유출만 관련된 것이 아니다. 만약 해커가 예전 스턱스넷 악성코드로 원전을 노렸던 것과 같이 국가 기간 시설을 공격할 시에는 더 큰 피해가 발생할 수도 있다. 영화 '다이하드 4.0'에서 보듯이 전기사용이 끊기고 전산망이 마비되고 금융거래가 멈출 수도 있다.
 
개인이 뜻하지 않게 가해자가 될 수도 있다. 예를 들어 특정 동호회에 가입한 개인이 보안에 소홀해 계정을 탈취당해서, 같은 동호회 회원이던 목표 기업의 임직원에게 탈취한 계정으로 악성피싱 메일을 보낼 수 있다. 그러면 같은 동호회회원이므로 피해자는 그 메일을 아무 의심없이 열어볼 확률이 매우 크다. 많은 보안 전문가들이 이런 방식으로 최초 침입이 이루어지면, 이후에 들키지 않고 내부망을 돌아다니기는 매우 쉽다고 지적하고 있다.
 
‘전달자’의 관점으로도 볼 수 있다. 개인이 불법으로 다운로드한 악성 프로그램을 USB에 담아 회사에서 실행을 했을 때, 개인은 회사나 조직에 엄청난 피해를 끼칠 수 있다. 실제로 외부와는 분리된 망(망분리)을 사용하던 원전에 침투한 스턱스넷은USB를 통해 내부로 전달된 것으로 추정된다. 막대한 비용을 들여 망분리를 해도 한 차례 보안수칙 위반만으로 막대한 피해를 보는 것이다. 수백억을 들여 구축한 보안 시스템이 무력화되는 순간이다. 스턱스넷 사례도 물리적으로 망이 분리되었음에도 불구하고 보안에 취약한 USB로 외부에서 다운로드 받은 자료를 내부 PC로 옮기는 과정에서 악성코드에 감염된 것으로 추정하고 있다.
 
이처럼 APT공격은 개인과는 상관없이 보이지만, 결국 개인과 밀접한 관계가 있다. 게다가 나의 부주의로 나뿐만 아니라 내 주변사람들, 내가 속한 조직, 나아가서는 사회의 기반까지 흔드는 엄청난 결과를 초래할 수도 있다. 이런 보안 위협을 방지하기 위해서는 아래와 같은 기본적인 보안 수칙준수가 무엇보다 필요하다.  
1) 백신은 항상 최신 업데이트 유지하고 주기적 검사를 실행한다. 사용자가 일주일만 백신 업데이트를 안해도 최대 수백만개 신/변종 악성코드에 감염될 위험에 노출된다는 점을 명심하자.
2) 발신인이 불분명하거나 수상한 메일 첨부파일 실행을 자제한다. 메일의 형식이나 내용을 자세히 살펴보면 무언가 수상쩍은 점을 발견할 수 있는 메일들이 있다. 무조건 클릭을 자제하고 신중하게 살펴봐야 한다.
3) SNS상에서 단축 URL 클릭 자제 및 신뢰할 수 없는 사이트 방문을 자제한다.
4) 자신이 근무하는 기업/기관이 고객정보나 중요사안을 다룬다면 특히 조직 내에서는 사적 용도의 인터넷 사용을 되도록 자제해 앞서 언급한 위험을 최소화하는 것도 좋다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com