2020-07-11 19:05 (토)
[특별기고] 한수원 APT 공격…재발방지 하려면
상태바
[특별기고] 한수원 APT 공격…재발방지 하려면
  • 길민권
  • 승인 2015.02.02 03:07
이 기사를 공유합니다

기존 보안시스템 연계해 2, 3중 보완하는 체계로 진화해야
[빛스캔 문일준 대표. 사진] 2013년도 3월에 발생한 사이버테러로 인해 공공기관뿐만 아니라 방송국과 같은 민간 기업까지 막대한 피해를 입었으며, 이러한 공격을 인해 APT(Advanced Persistent Threat, 지능형 지속가능 위협)이라는 용어로 널리 알리는 계기가 되었다. APT 공격은 방화벽, IDS/IPS, Antivirus와 같은 전통적인 보안 솔루션이 결합된 체계에서 예방, 진단 및 차단이 어렵거나 불가능한 새로운 공격 방식을 말한다. 특히, 제로데이와 사회공학적 공격이 가미되면서 보다 탐지가 어려운 경우가 많다.
 
12월 초순경, “한국수자력원자력(한수원)”의 내부 인터넷망이 해킹으로 추정되는 공격을 받아 설계도 등 내부 정보가 유출된 것으로 알려졌다. 일부 보안 전문가들은 이번 해킹의 수법을 APT 공격으로 지목하였다. 즉 스피어피싱(Spear Phishing)이라고 일컫는 사회공학적 해킹 수법으로 특정 대상을 노리며, 주로 회사의 임원이나 고위 공무원 등이 주요한 대상이다. 그 사람들의 흥미를 끌만한 이메일을 보내어 해당 메일의 특정 URL을 클릭하거나, 첨부파일을 열어보는 과정에서 악성코드에 감염시킨다. 한수원에서 발생한 이메일 공격도 전직직원이 내부의 직원들에게 보낸 것으로 속여서 보낸 것으로 알려졌으며 전형적인 스피어피싱 공격으로 볼 수 있다.
 
대응이라는 측면에서 살펴 보면, 메일에 대한 1차적 대응은 안티스팸 솔루션이 맡고 있다. 안티스팸 솔루션은 제목, 발신자 등 다양한 정보를 비교하여 스팸으로 분류하며, 본문에 포함된 악성URL과 첨부파일에 악성코드에 감염된 파일이 있는지도 검사하는 기능을 대부분 가지고 있다.
 
그렇다면, 한수원뿐만 아니라 다른 기업 및 기관에서 유사한 형태의 스피어피싱, 즉 이메일을 통해 전파되는 공격에 대해서 효과적으로 방어를 할 수 있었는지 검토를 해봐야 할 필요가 있다.
 
스피어피싱 공격은 국내보다 해외에서 오래 전부터 널리 이용되고 있으며, 대부분 오피스 문서나 어도비(Adobe) PDF 취약점을 이용한 문서 파일을 첨부로 함께 보내 이 첨부 파일을 여는 순간 악성코드에 감염되게 한다.
 
하지만 스피어피싱과 같은 형태의 공격을 탐지하여 예방하기 위해서는 단순히 이메일의 본문이나 첨부파일의 감염 여부의 진단만으로는 이러한 형태의 공격을 탐지하기가 어렵다. 이러한 한계를 넘어서기 위해 최근 출시되는 보안 기술 중의 하나는 가상머신(Virtual Machine) 내에서 특정한 파일을 실행하거나 하는 방식을 통해 동적인 분석을 거쳐 악성여부를 판단하는 기술이 널리 이용되고 있다.
 
이러한 방식의 장점은 실제 백신 등과 같이 동작이나 검사 당시 악성여부가 나타나지 않았던 파일에 대한 잠재적인 위험을 찾아 낼 수 있다. 나아가 신규 제로데이의 발생도 일부 예측이 가능하다는 점도 들 수 있다.
 
다시 우리나라의 상황으로 되돌려 보면, 우리나라에서는 MS 오피스문서보다는 아직까지도 한글(HWP) 문서를 사용하여 주고받는 경우가 많다. 따라서 국내에서 이메일을 통한 공격에는 기존 MS 오피스 취약점뿐만 아니라 한글의 취약점도 진단해 차단할 수 있는 기술이 필수적으로 필요하다고 볼 수 있다.
 
따라서 국내에서 활용할 수 있는 보안 솔루션은 앞서 언급한 해외의 탐지 기술뿐만 아니라 한글(HWP)에 대한 탐지 능력 또한 가지고 있어야 할 것으로 보인다.
 
이제 한수원 사태를 예를 들어 본다면, 가장 먼저 위험한 요소인 메일을 방어하는 수단은 바로 안티스팸 솔루션이다. 여기에서 악성 기능을 가진 한글(HWP) 문서 파일을 탐지하고 이를 제거하나 스팸으로 처리한다면, 이용자는 이러한 공격으로부터 미연에 예방할 수 있게 된다.
 
나아가, 메일의 본문에 악성링크가 삽입돼 있었다면, 웹메일 등에서 해당 링크를 클릭하는 과정에서 유해사이트 차단솔루션이 이를 탐지하고 방문하지 않게 대응했다면 앞과 동일한 효과를 가져올 수 있다. 참고로 현재 구글은 크롬과 사파리 브라우저에서 악성코드를 유포 및 피싱 사이트를 차단하는 기능을 제공하고 있다.
 
하지만 현재까지 한수원에서 이용된 악성코드의 분석은 단순히 백신회사의 몫으로 남아 있다. 물론 앞서 언급한 메일에 대한 방어가 충분치 않을 경우, PC의 마지막 보안 수단인 백신이 이를 탐지하고 방어할 수 있어야 할 것이다. 본래의 기능이라면 안티스팸 솔루션은 이메일을 통해 가해지는 위협을, 백신은 다운로드하거나 복사한 파일에 대한 탐지 및 치료 기능을 말한다. 제품이 본래 기능에 충실하지 않았다면, 동일한 공격이 발생할 경우 그에 대한 대응 또한 부적절할 수 밖에 없게 된다.
 
결론적으로, APT 공격은 전통적인 보안 솔루션을 우회할 수 있는 다양한 기술을 사용하게 되며, 마지막으로 정보를 빼내거나, 자료를 파괴하는 등의 실제 악성코드 행위가 나타나는 특징을 보인다. 따라서 백신 하나만으로 해결할 수 없으며, 기존 보안 체계와 연계해 2중 3중으로 빈틈이 없도록 보완하는 체계로 진화해야 한다.
 
또한 대부분의 APT 공격은 사용자를 속이거나 PC의 보안 취약점을 이용하는 경우가 많다. 따라서, APT 대응이 전에 사용자에게 현재 발생하는 보안 사고의 동향 및 대책, 그리고 PC의 보안 정책의 시행 및 이행 결과 점검이 가장 필요하다. 물론 성능이 검증된 백신의 사용도 반드시 수반되어야 한다.
 
<★정보보안 대표 미디어 데일리시큐!★>
 
[글. 빛스캔 문일준 대표 / moonslab@bitscan.co.kr]