포티넷은 APT 공격과 같은 최신 보안 위협에 대응하기 위해 보안 인텔리전스를 강화해야 한다고 밝히고, 이를 위해 한국인터넷진흥원의 KrCERT를 비롯해 전세계 60여개 국가의 침해사고대응센터와 협력하고 있다고 밝혔다. 또 제로데이 취약성 공격에 대응하기 위해 MS, 어도비 등과 같은 소프트웨어 벤더와도 협력하고 있다고 덧붙였다.
 
이러한 활동의 일환으로 한국을 방문한 데릭 맨키(Derek Manky) 포티넷 글로벌 보안 전략가는 포티가드센터를 통해 분석한 한국의 최신 보안 위협을 설명하는 한편, APT 공격의 위험성에 대해 강조하고 이에 대한 해결책으로 대응적, 선제적 방어를 제시했다.
 
포티가드센터는 전세계에 걸쳐 주요 거점에 연구센터를 두고 안티바이러스나 IPS 시그니처, 데이터베이스 취약점, URL 필터링, 안티스팸, 웹 취약성 보안, 애플리케이션 시그니처 등에 대한 연구를 진행하고 있으며, 실시간 발생하는 보안 위협의 빠른 분석 및 대응을 가능케 한다.
 
그의 설명에 따르면, 최근 한국서 홈페이지에 접속만 하더라도 악성코드에 감염되는 이른바 ‘드라이브바이다운로드’ 해킹 공격이 증가하고 있으며, 인터넷 익스플로러의 취약성을 이용한 공격이 다양하게 발생하고 있다.
 
봇넷의 활동으로는 제로액세스(ZeroAccess), 도크봇(Dorkbot), 지포(Jeefo) 등이 있으며, 특히 제로액세스 봇넷은 전세계적으로 가장 위협이 되는 봇넷으로, 클릭 사기와 함께 비트코인 채굴에 악용되고 있고, 한국에서 이 봇넷에 감염된 PC의 수는 10,849대에 달하는 것으로 파악되고 있다.
 
특히, 모바일 보안 위협이 폭발적으로 증가하고 있으며, 원격 명령을 수행하는 리모트 쉘(Remote Shell) 명령을 C&C 서버를 통해 내릴 수 있는 것으로 알려진 드로이드 드림(Droid Dream) 등으로 보안 위협이 보다 커져가고 있다.
 
APT 공격 역시 한국서 활발하게 이뤄지고 있는데, 그 대표적인 예로 3.20 사이버테러와 6.25 심디스크 해킹 공격을 들었다. 두 사건이 비록 공격 유형과 기법은 다르더라도 최근 APT 공격의 트렌드를 설명할 수 있는 사례들로, 특히 특정 시간에 공격이 감행되는 타임 밤(Time Bomb) 기술이 이용됐다는 점에서 유사성을 보이고 있다는 것.
 
포티넷은 각각의 공격이 발생한 직후 샘플을 받아 분석한 후, 이를 빠른 시간내 업데이트 할 수 있었다. 그는 이러한 일련의 활동은 대응적 방어이며, 미리 보안위협을 파악해 미리 예방할 수 있는 선제적 대응이 함께 이뤄져야 한다고 강조했다.
 
그리고 선제적 대응의 하나로, 포티가드센터를 통해 3.20 사이버 테러가 발생하기 전 3월 12일 의심스러운 활동을 발견하고 이와 관련 업데이트를 한 바 있다고 주장했다. 물론, 당시에는 이러한 활동이 한국서 3.20 사이버테러로 연결될 것으로 예상하지 못했고, 후에 샘플을 받아보고 나서야 알았다고.
 
데릭 맨키는 이러한 공격을 막기 위해서는 APT 공격의 속성인 ‘위장(Disguise), 생존(Survivability), 영향(Impact) 등으로 이뤄지는 체인을 끊어야 하며, 기존 샌드방식의 솔루션 만으로는 대응에 한계가 존재한다고 밝혔다.
 
그는 올해 출시되는 ‘포티샌드박스’를 소개하며, 포티샌드박스는 안티바이러스 엔진을 통해 시그니처 기반의 악성코드를 차단하고 실시간 샌드박스로 악성여부를 탐지한 후 풀 샌드박스에서 이를 차단하는 방식이기 때문에 보다 효과적으로 APT 공격을 막을 수 있다고 설명했다.
 
데일리시큐 호애진 기자 ajho@dailysecu.com