[윤명훈 인포섹 상무. 사진] 3.20 사이버테러를 시작으로 Kimsuky 악성코드, 아이스포그 등의 활동이 발견되며, APT(지능형 지속 위협, Advanced Persistent Threat)는 2013년 가장 심각한 보안위협으로 인식되고 있다. 특정한 타깃을 목표로 한 지능적이고도 복합적, 지속 공격인 APT는 이제 우리에게 지난 수년간 유지해 온 방어체계의 변화를 요구하고 있는 것이다.
 
전문적인 공격집단이 의도를 가지고 지속적으로 공격을 감행하는 APT 공격은 공격자가 타깃에 대한 높은 이해도를 바탕으로 이루어지는 것이 일반적인 특징으로 해커가 타깃으로 한 대상의 정보를 수집하며, 어떠한 보안시스템을 보유하고 있는지, 어떻게 운영되고 있는지에 대한 시나리오를 구성한 후 실행하기 때문이다.
 
또한 손쉬운 악성코드 배포를 위해 대다수의 사람들이 별 의심 없이 사용하고 있는 검증된 SW 업데이트서버를 활용하고, 사용자 PC의 엔드포인트 보안 취약점을 발판으로 한 공격이 증가하며 우리는 이제 가장 신뢰할 수 있는 보안프로그램조차 절대적으로 신뢰해서는 안되는 상황 속에서 어떠한 방어체계가 APT 대응에 적합한 최선인지 고민해봐야 할 시점이다.

 
◇APT공격 대응체계 구축방향
특화된 APT 대응 솔루션을 도입하는데 있어, 방화벽, IDS/IPS, 안티 바이러스 등의 전통적인 솔루션은 이제 더 이상 진화하는 형태의 보안 공격에 필요하지 않은 것인가 라는 의문에 대한 답은 ‘필요하다’라고 볼 수 있다. 전통적인 보안 솔루션은 회사의 일관된 보안정책을 적용시킬 수 있으며, 공격자가 APT 공격에 활용하는 복합적인 공격 중 기본적인 형태의 악성공격을 방어할 수 있기 때문이다.
 
APT 전문 대응솔루션은 기존 보안솔루션의 대체솔루션이 아닌 기존 보안솔루션의 한계점을 보완하기 위해 존재한다. 이러한 요소를 포함하여 PC, 계정관리, 서버관리 등 보안대책이 충실하게 갖춰지고 운영되고 있는지에 대한 확인이 필요하고, 보안대책이 체계적으로 갖추어져 있지 않은 곳이라면 전문 보안컨설팅을 통해 현재의 보안체계 수준을 진단하고 상황에 맞는 APT 대응책을 고려해야 한다.
 
◇Kill the Chain–체계적인 분석 통해 APT 공격 연결고리 끊어라
APT 공격은 해커가 타깃으로 한 대상의 정보를 수집하며, 어떠한 보안시스템을 보유하고, 어떻게 운영되고 있는지에 대해 정보를 수집하고 사전 시나리오에 의해 단계별 공격이 이어지기 마련이다. 이러한 단계별 공격 활동에는 필수적으로 이벤트가 발생할 수 밖에 없기 때문에 다음 단계로 이어지는 포인트를 반드시 제거하는 것이 APT 공격 방어의 시작이다.
 
이러한 방어형태를 다수의 보안기업들이 킬 더 체인(Kill the chain)이라는 용어를 통해 설명하고 있는데, 킬 더 체인은 단일 이벤트를 중심으로 제거 하는 것에 초점을 맞춘 것이 아닌 체계적인 분석을 통해 이상 이벤트를 발견하고 확산을 막을 수 있는 방안을 찾는 것을 의미한다. APT 공격에 이용되는 악성코드의 대다수가 안티 바이러스 등으로 치료할 수 없는 알려지지 않은 공격으로, 이를 위험요소로 판단할 수 있는 보안솔루션의 분석 기능은 향후 중요도가 높아질 수 밖에 없다. 2013년 8월 시장조사 기관에서는 이러한 흐름을 반영하여 악성코드의 공격을 탐지하기 위한 분석기능에 초점을 맞춘 STAP(Specialized Threat Analysis and Protection)이라는 새로운 보안분류를 지정하기도 했다.
 
◇엔드포인트 APT 대응 솔루션의 필요성
현재, 국내 APT 대응솔루션 시장은 네트워크 솔루션을 중심으로 형성 되어있지만, 이미 많은 공격자들에 의해 가상화 공간 안에서 동작하지 않는 악성코드가 등장하고, 안티 바이러스를 포함한 보안솔루션 우회공격이 등장하고 있는 상황에서 네트워크 단의 APT 대응 솔루션만으로는 한계가 발생하고 있다. 따라서 최근 많은 관심을 받고있는 APT 대응솔루션의 엔드포인트의 행위에 대한 체계적인 분석이 가능한 엔드포인트 APT 대응 솔루션이다. 실제 다수의 공격이 PC단을 통해 최초 공격이 이루어지는 만큼 엔드포인트 내에서 악성코드의 동작에 대한 분석기능, 연관도를 보여줄 수 있어야 한다.

 
◇인포섹 통합 APT 대응체계: 기본에 충실한 선제적 방어체계 구축
앞서, 체계적인 APT 대응체계 구축을 위한 내용 들을 알아보았다. APT는 사고가 난 후 대응하기에는 어려운 보안위협으로 사고 이후 APT 솔루션을 도입하는 형태로 대응해서는 안된다. 처음 APT 대응체계 구축 단계에서부터 철저히 공격자의 입장에서 고려된 시나리오를 바탕으로 현재의 보안수준을 파악하고 어떠한 수준의 보안체계가 구축되어 있는지, 우리에게 맞는 보안정책, 솔루션은 무엇인지 파악해야 하고 선제적 대응이 필요하다.
 
또한 솔루션 도입에 있어서도 중단없는 네트워크, 서비스 운영 등을 목적으로 한 전통적인 보안솔루션과는 다른 컨셉으로 접근해야 하는 만큼 다양한 분석기능을 통해 실시간 공격대응이 가능하며, 실제 APT 사고대응 경험이 풍부한 기업의 솔루션 및 서비스를 도입하는 것이 필요하다.
 
[글. 윤명훈 인포섹 보안SW사업담당 상무]