보안 전문가 5인이 말하는 APT 대처 방법

지능형지속위협(APT : Advanced Persistent Threat) 공격에 대한 관심이 다시 높아지고 있다. KBS, MBC, YTN, 농협 등 전산망을 무너뜨렸던 3.20 사이버 대란이 APT 공격으로 밝혀졌기 때문이다.
APT 공격은 어제 오늘 발생한 일이 아니다. 2011년 SK커뮤니케이션즈 3500만명과 넥슨 1320만명의 개인정보유출, 농협 전산망 마비 등 사이버 사건이 모두 APT 공격으로 발생한 일이다.
APT공격은 특정 대상을 표적으로 내부 시스템의 취약점을 이용해 침투한 뒤 한동안 이를 숨겨놓았다가 주요 정보를 유출하거나 시스템을 무력화하는 데 쓰인다. 기존의 안티바이러스 프로그램에 탐지되지 않도록 악성코드를 제작할 수 있고, 자체 전파하는 바이러스와 달리 다량의 트래픽을 발생시키는 것도 아니어서 네트워크 관리자의 감시도 쉽게 피할 수 있다.
이처럼 APT 공격의 경우 알려지지 않은 새로운 해킹 기술을 사용해 관리자 계정을 탈취하거나 은밀히 상대방의 PC에 잠입하는 등의 기술을 사용해 공격한다.
최근엔 스마트폰 APT 공격까지 등장하는 등 해킹 기술은 날로 지능화되고 있다. 공공기관, 금융기관, 대기업들은 일반적으로 IPS, 방화벽, 안티바이러스, 백신프로그램 등 보안 솔루션을 최소 2~3개 이상 복합적으로 사용하고 보안 전문 인력도 채용하지만 APT 공격 한 방에 뚫리고 있다.
보안 관계자들 사이에서는 APT 공격이 '1년에 한 번 발생할까 말까한 공격'이라고 불리고 있다. 하지만 3.20 대란에서 드러난 것처럼 APT 공격을 당했을 때 그 피해는 상상을 초월한다. 더욱이 알려지지 않은 방식으로 공격하기 때문에 막기 어렵고 치명적이다. 이 때문에 APT 솔루션을 도입하려는 기업들의 움직임도 빨라지고 있다.
파이어아이에 따르면 최근 APT 솔루션 도입과 관련된 문의가 3.20사태 발생 전보다도 50% 이상 늘어났다고 한다. 특정 산업군을 가리지 않고 전 산업군에서 관련 솔루션에 대해 문의해오고 있는 것.
시만텍, 파이어아이, 윈스테크넷, 인포섹, 한국EMC 등 보안 업체들은 해커가 알려지지 않은 채 끊임없이 APT공격을 감행할 것으로 예상하고 있다. 본지는 국내 주요 보안 업체의 대표, 기술이사 6인으로부터 최근 발생했던 APT 공격에 대한 사례를 짚어보고 향후 APT 공격 전망과 대응방안을 알아본다.



지난 3월 20일 KBS, MBC, YTN, 농협 등 방송사와 금융권 전산망은 한순간에 마비됐다.

2011년 SK커뮤니케이션즈 3500만명과 넥슨 1320만명의 개인정보 유출, 농협 전산망 마비에 이어 2년 만에 발생한 사건이었다.

3.20 사건을 관장한 민관군 합동대응팀은 공격자가 8개월 이전부터 목표 기관 내부의 PC 또는 서버 컴퓨터를 장악해 자료 절취, 전산망 취약점 파악 등 지속적으로 감시하다 백신 등 프로그램의 중앙배포 서버를 통해 PC 파괴용 악성코드를 내부 전체 PC에 일괄 유포했다고 밝혔다. 2년 전 발생했던 해킹 방식과 비슷하다. SK커뮤니케이션즈는 이스트소프트 공개용 알집 업데이트 서버를 해킹 당했고, 넥슨은 인기 온라인게임 '메이플스토리'회원정보를 보관하는 백업 서버가 해킹 당했다.

이번 해킹에 사용된 기술은 말 그대로 APT 공격이다. APT 원어 그대로 Advanced(선진의, 고급의), Persistent(끈질긴, 집요한), Threat(협박)에서 볼 수 있듯이 정부, 금융회사나 특정회사의 기밀획득을 목적으로 하고 목표 달성을 할 때까지 지속 공격을 한다. 악성코드는 이메일이나 메신저를 통해서 전송한다는 것이다.

APT 공격은 특정 대상을 표적으로 내부 시스템의 취약점을 이용해 침투한 뒤 한동안 이를 숨겨놓았다가 주요 정보를 유출하거나 시스템을 무력화하는 데 쓰인다. 2년 전에 발생했던 넥슨, SK커뮤니케이션즈 해킹 사건도 APT 공격으로 발생했다.

2011년과 2013년의 공격자 해킹 기술과 방식이 동일했지만 속수무책으로 뚫리고 말았다.



같은 공격, 같은 방식에 왜 자꾸 뚫리나

문제는 이번에 해킹을 당한 방송사, 금융사가 APT 공격에 전혀 대비하지 않았다는 데 있다. 대란 이후에 드러난 것이기는 하지만 공격징조가 여러 차례 있었지만 해당 기관들이 APT 솔루션 등 방어대책을 강구하지 않았다는 것이다. 지난 몇 차례의 해킹 사건 이후에도 여전히 보안 의식이 그리 높아지지 않았다는 것을 대변해준다.
해킹을 당한 방송사와 금융사는 패턴 기반을 분석으로 방어하는 전통적인 방화벽, IPS 등에만 의존했고 그 결과가 이번 사태로 이어진 것으로 보안업계는 분석하고 있다.

보안 전문 기업인 윈스테크넷에 따르면 공공기관, 금융기관, 일반 기업 중에 20%만이 APT 솔루션을 도입하는 등 APT 솔루션 도입이 미지근하다. 기업들의 보안 의식이 낮은 것도 문제지만 국내 보안 기업들이 APT 공격을 막아내지 못한 것도 사이버 대란을 발생하게 한 원인이다. 아직 국내 보안업체들의 기술 수준은 해킹 기술에 비해 떨어진다. 그도 그럴 것이 사태가 발생해야 방어기술을 개발하기 때문이기도 하다. 그야말로 뛰는 보안 기술에 나는 해킹 기술이라 할 수 있다.

최근에 발생하는 APT 공격은 사람의 취약한 심리를 노리는 사회공학적 기법을 많이 이용한다고 한다. 기업 IT 담당자 또는 특정인의 관심사나 신상정보를 SNS로 수집/취합한 후 공격에 활용하고 있는 반면 아직 보안 기술은 이에 대응하지 못하고 있는 상황이다.



3.20 대란, 해킹당한 원인은 무엇인가

정부는 지난 3.20 전산망 대란의 해킹 방법으로 해커가 백신 등 프로그램의 중앙배포 서버를 통해 PC 파괴용 악성코드를 내부 전체 PC에 일괄 유포했다고 밝혔다.

그러나 이 사태를 지켜보는 보안업체들의 생각은 조금씩 달랐다.
어떤 방식으로 해커가 공격을 했고 해킹을 당한 업체는 어느 점을 간과해서 당했냐는 질문에 보안 업계 관계자들은 각각 다른 대답을 내놨다.

윤광택 시만텍 기술이사는 트로이목마 악성코드가 공격의 시작이라고 밝혔다. 윤광택 이사는 "이번 사태는 트로이목마 악성코드 공격으로 인해 발생했으며 이 악성코드는 마스터부트레코드(MBR) 영역과 여기에 저장된 데이터를 덮어씀으로써 하드 디스크의 내용을 모두 지우는 방식으로 진행됐다"고 말했다.



<이하 상세 내용은 컴퓨터월드 5월 호 참조>

저작권자 © 컴퓨터월드 무단전재 및 재배포 금지