최근 보안분야에서 컴플라이언스 이슈는 단연 개인정보보호법이다. 또한 침해대응관련 최대 이슈는 APT 공격이다. 20일, 안철수연구소는 코엑스 인터콘티넨탈호텔에서 ‘APT 현황과 대응 방안’을 주제로 융합보안 전략 세미나를 개최했다.
 
이날 김홍선 안철수연구소 대표는 “APT 공격은 공격의 패러다임이 한단계 진화했음을 보여준다. APT를 비롯해 나날이 고도화, 지능화되는 보안 위협은 하나의 솔루션만으로는 막을 수 없다”고 강조하고 “이를 막기 위해서는 더 전문화된 사람들이 더 지능화된 툴을 가지고 융·복합적인 지능화된 툴로 싸워야 한다”고 강조했다.
 
◇APT 어떻게 이루어지나 현장에서 시연=한편 이호웅 시큐리티대응센터장은 APT 공격이 실제로 어떻게 전개되는지 시연을 통해 참관객들에게 보여줬다. 해커는 타깃으로 하는 기업에 근무하는 A씨에게 트위터로 이벤트 당첨관련 내용과 URL을 보낸다. A씨는 무심코 URL을 클릭하고 PDF 자료를 다운받는다.
 
그 PDF에는 Poison Ivy(원격제어형태의 트로이목마)라는 해킹툴이 숨겨져 있고 파일을 열어보는 순간 A씨의 PC에는 악성코드가 다운로드 된다. 이를 통해 해커는 A씨 PC의 모든 것을 원격에서 제어할 수 있고 모니터링할 수 있는 상태가 된다. 해커는 A씨가 자신이 노리고 있는 기업 내부정보 혹은 중요 DB에 접근할 수 있는 계정정보를 입력할 때까지 지속적으로 모니터링하고 있다가 정보 탈취에 성공한다. 그 후 자신의 해킹 사실을 숨기기 위해 A씨의 PC 시스템을 파괴해 PC를 못쓰게 만들어버린다. 이러한 과정이 현장에서 직접 시연돼 참관객들의 관심이 집중됐다.
 
이호웅 센터장은 “APT 공격은 공격이 진행되면서 필요 없는 악성코드는 삭제시킨다. 최종 공격자 PC에만 공격툴을 남겨놓고 모두 삭제하기 때문에 사전에 탐지가 힘들다”며 “APT 공격을 차단하기 위해서는 악성코드 유입단계 이전에 APT 징후를 감지하는 것이 가장 중요하다. 조직내 모든 파일에 대한 가시성을 확보해야 한다”고 강조했다.
 
김홍선 대표는 “사이버 공격은 점차 고도화되고 보안관련 법과 제도 강화로 컴플라이언스 이슈가 기업들을 압박하고 있다”며 “입체적이고 치밀한 사이버 공격, 역동적인 악성코드 2.0시대에 대응하기 위해서는 방어 입장에서도 새로운 보안 기술이 필요하다”고 역설했다.
 
“기업 비즈니스 활동은 이제 IT와 분리될 수 없다. 기업의 IT환경 위협에 대해 대응하는 것은 성공적 비즈니스와 직결된 문제”라며 “보안에 가장 주도적 역할을 해야 할 사람은 보안담당자도 아니고 IT기획부도 아니다. 바로 CEO다. 최고경영자의 관심 없이는 해결될 수 없다”고 덧붙였다.
 
김 대표는 또 “APT 공격은 타깃 기업이나 기관 등 조직의 네트워크에 은밀하게 침투해 일정 기간 동안 지속적으로 공격을 가하기 때문에 사전에 탐지하고 대응이 어렵다”며 “방어를 위해서는 APT 공격이 어떻게 이루어지는지 알아야 한다. 또 각 단계별 전방위적 대응 체계가 갖춰져야 한다. 외부에서 들어오는 공격과 내부에서 유출되는 것을 동시에 감시 및 대응하는 융합 보안 체계 구축을 통한 APT 방어 종합대책을 수립해야 한다”고 말했다.  

 
안철수연구소 솔루션들로 APT 공격을 어떻게 방어할 수 있을까도 소개했다.  
 
◇공격 준비 단계의 대응
악성코드 유포지로 활용할 서버를 확보하기 위해 외부 불특정 서버를 해킹해 악성코드를 업로드하는 단계다. 또 공격자가 직접 서버를 만들어 유포지로 활용할 수 있다. 관리자는 악성코드가 웹 등을 통해 유입되는 것을 인지하고 사용자들이 악성코드를 유포하는 웹 서버에 접근하지 못하도록 조치해야 한다.
 
준비단계 대응 솔루션으로는 엔드포인트 제품에 V3라이트, V3인터넷 시큐리티, 사이트가드, 사이트케어 엔터프라이즈, 트러스와처를 추천했고 네트워크 제품으로는 트러스가드를 추천했다.
 
◇악성코드 유포 시도 단계의 대응
공격자는 각 기관 및 기업 내부 직원 PC로 악성코드가 유입되도록 끊임없이 시도한다. 악성코드는 보통 인터넷을 통해 유입된다. 즉 악성코드 유포 시도를 방어하려면 인터넷을 통해 파일이 유입되는 것을 상시 모니터링하고 악성 파일에 대해 명확하게 판단할 수 있어야 한다.
 
이 단계 대응 솔루션으로는 엔드포인트 제품군 중 V3라이트, V3 인터넷시큐리티, 트러스와처, 트러스라인을 추천했다. 또 네트워크 제품중에는 트러스가드를 추천했다.
 
◇악성코드 감염 및 공격자 침입 단계의 대응
악성코드에 감염되면, 해당 악성코드는 공격자와 연결을 시도하거나 새로운 공격 파일을 업데이트 한다. 따라서 이미 감염됐다면 새로운 악성파일이 추가 감염되는 행위나 공격자와의 연결을 차단할 수 있어야 한다.
 
엔드포인트 제품군중 V3 인터넷 시큐리티, 트러스와처, 트러스라인을 추천했고, 네트워크 제품중에는 트러스가드와 네트워크 트래픽 통제 프로세스가 필요하다고 강조했다.
 
◇보안 사고단계의 대응
보안 사고는 공격자가 장악한 PC를 통해 내부의 2차, 3차 침해사고로 이어져 주요 정보 및 자산이 탈취되는 피해를 불러온다. 따라서 2차, 3차 침해 사고 및 내부 네트워크를 통한 감염 PC의 전이 과정에 대응하기 위해 대응해야 한다.
 
이 단계에는 트러스존, 트러스와처, 트러스라인, V3, 트러스가드, 내부 트래픽 통제 정책 및 운영프로세스가 필요하다고 추천했다.
 
김홍선 대표는 “APT 대응은 불가항력이 아니다. 막을 수 있다. APT에 대한 종합대응 시나리오 및 솔루션을 구축하고 기업과 보안전문 기업이 함께 싸워가야 한다”고 강조했다. [데일리시큐=길민권 기자]