[컴퓨터월드] 최근 사이버 세상은 지능형 지속 위협(Advanced Persistent Threat, APT)으로 인해 많은 어려움을 겪고 있다. 지난해 발생했던 3.20 전산대란으로 인해 우리나라에도 널리 알려진 APT는 이전까지 공격방법들과 달리 지능화되고 정교해진 기법으로 인해 대응하기가 쉽지 않기 때문이다. 전통적인 패턴 분석 기반의 방어 체계로는 더 이상 APT 공격을 막아낼 수 없을 지경이다.

이런 APT 공격에 대비하기 위한 방안으로 지능형 위협 방어(Advanced Threat Protection, ATP)와 같은 통합 보안 체계가 떠오르고 있다. 특정 솔루션 한두 가지만이 아닌, 다각적 방어 체계를 구축해 APT 공격의 시발점이 되는 악성코드를 빠르게 탐지하고 공격 과정으로 이어지는 체인을 끊어서 무력화시킬 수 있도록 한다는 개념이다. APT 공격 방어를 위한 트렌드가 되고 있는 통합 보안 체계에 대해 알아본다.

APT, 피할 수 없으니 막아라

지능형 지속 위협(APT) 공격은 특정 대상을 표적으로 내부 시스템의 취약점을 이용해 침투한 뒤, 한동안 이를 숨겨놓았다가 중요 정보를 유출시키거나 시스템을 무력화하기 위해 이용되고 있다. 공격은 악성코드 침투로부터 시작되며, APT의 단어 의미처럼 대상에 지속적인 위협을 가해 공격자의 목적을 달성할 수 있도록 한다.

이런 APT 공격의 등장으로 패턴 분석 기반의 전통적인 기법으로는 APT 공격을 쉽사리 막아낼 수 없게 됐다. APT 공격에 사용되는 악성코드는 백신과 같은 안티바이러스 프로그램에 탐지되지 않게 제작되고 있으며, 한꺼번에 다량의 트래픽을 발생시키지도 않아 네트워크 관리자의 감시도 피할 수 있기 때문이다.

더군다나 최근에는 스마트폰을 노린 APT 공격을 비롯해 사람의 취약한 심리를 노리는 사회공학적 기법까지 등장하는 등 해킹기술이 날로 발전함에 따라 APT 공격은 그야말로 피할 수 없는 존재가 돼버렸다. 결국 피해를 입지 않으려면 무조건 막아야만 하는 것이다.

보안 업계의 분석에 따르면 APT 공격은 여러 단계의 체인(Chain)으로 이뤄져 진행된다. 이런 연쇄 단계들 중 하나만 끊어지더라도 공격을 무효화할 수 있다는 것. 그러나 지난 3.20 전산대란 때 피해를 당한 기업 및 기관들이 보유한 방화벽과 침입방지시스템(IPS), 백신프로그램 등 보안 솔루션들은 이런 체인을 끊어내지 못했기에 속수무책으로 당할 수밖에 없었다.

APT, 새로운 기법으로 무장 중

APT 공격은 알려지지 않은 기술을 이용해 끊임없이 공격하는 것이 핵심이다. 기존 보안 장비만으로는 탐지가 불가능한 기술들을 통해 기업 내부에 침투를 시도한다. 보안 업계 관계자들은 APT 공격이 제로데이 취약점, 루트킷 기법, SQL 인젝션, 악성코드, 피싱, 스팸 등 다양한 공격기법들을 종합적으로 사용하고 있기 때문에 방어하기가 까다롭다고 설명한다.

뿐만 아니라 최근 주의해야 할 공격 기법으로 워터링홀이 있다. 워터링홀은 사자가 먹이를 습격하기 위해 물 웅덩이(Watering hole) 근처에서 매복하고 있는 모습을 빗댄 말로, 공격자가 덫을 설치해놓고 사용자가 걸리기만을 기다리고 있는 것을 의미한다.

공격자는 우선 타깃으로 정한 사용자의 정보를 수집해 자주 방문하는 웹사이트를 파악한다. 그리고 해당 웹사이트를 대상으로 취약점 유무를 파악하고, 해킹이 가능한 웹사이트를 골라 특정 웹사이트로 리다이렉트 시키는 자바스크립트나 HTML 코드를 삽입한다. 이후 취약점을 이용해 미리 심어둔 공격코드가 실행되어, 타깃 사용자의 PC를 감염시키는 고도화된 표적 공격이다.

실제로 이를 이용한 공격이 지난해 발생했다. 한 인권 단체 웹사이트의 스크립트에서 컴퓨터를 감염시킬 수 있는 코드 한 줄이 발견된 것. 공격자는 이 웹사이트 방문자들을 감염시키기 위해 인터넷 익스플로어의 제로데이 취약점을 이용한 것으로 확인됐다.

통합 보안 체계 부각

그렇다면 이와 같은 표적 공격들을 막기 위해서는 어떤 방법을 취해야 할까. 최근 이에 대한 대안으로 통합 지능형 위협 방어(ATP)와 같은 통합 보안 체계가 주목받고 있다. 갈수록 정교해지고 지능화되는 공격에 맞서기 위해서 좀 더 포괄적이고 체계적인 전략이 필요하다는 입장에서다.

통합 보안 체계가 추구하는 것은 다계층 협업 방어 체계다. 이전까지는 보안 솔루션들이 단순히 모여 있었던 형태라면, 통합 보안 체계는 각 보안 솔루션들의 유기적 결합을 통해 악성코드의 사전 탐지에서부터 애플리케이션의 제어, 보안 인텔리전스와의 결합, 상관관계 분석 등 체계적인 시스템을 구축한다는 것이 주요 골자다.

우선 통합 보안 체계에서는 악성코드에 대한 실시간 분석과 대응력을 높이기 위한 방안으로 샌드박스를 활용한 탐지체계가 도입되고 있다. APT 공격을 위한 악성코드는 기존의 패턴 분석만으로는 탐지하기가 어렵기 때문에, 외부로부터 들어오는 패킷이나 파일 등을 가상화 영역 안에서 직접 실행시켜 어떤 활동을 하는지 파악하는 방식이다. 이를 통해 악성코드가 확인되면 내부 시스템으로 들어가지 못하게 차단함으로써 침투 자체를 막을 수 있다.

또한 악성코드의 침투경로 등을 추적하기 위한 네트워크 포렌식 체계도 중요한 구성요소가 되고 있다. 사고 발생 시 대부분의 기업들은 침입 기록(로그)는 있으나 이에 대한 상세 분석이 가능한 정보들을 갖지 못한 것이 대부분이다. 그러나 언제 어떤 경로로 악성코드가 침투하여 어떻게 활동했는지에 대한 추적이 가능하다면 향후 시스템 체계 보완을 통해 같은 방식으로 사고가 발생하는 것을 막을 수 있다.

뿐만 아니라 관제 영역도 빠질 수 없다. 전체적인 시스템 상황을 파악하고 모니터링 하면서, 발견된 이상 징후에 빠르게 대처해 피해를 예방할 수 있도록 하기 위함이다.

글로벌 보안 업계, 통합 보안 체계 위해 뭉치다

다계층 협업 방어체계를 위해서는 다양한 보안 솔루션들의 유기적인 결합이 필요하다. 그러나 업체별로 전문 솔루션 분야가 다르고, 특정 업체가 모든 것을 다 할 수는 없기 때문에, 통합 보안 체계 구성을 위해 서로 협력하고 있는 모습들을 보이고 있다.

특히 지난해 발생한 3.20 전산대란 이후 국내에 APT 방어 솔루션 시장이 형성됨에 따라 이에 대한 기술력과 노하우를 갖고 있는 글로벌 기업들이 적극적으로 국내 시장 공략을 위해 나서고 있다. 그러나 글로벌 기업들 역시 단순한 제품 공급보다는 통합 보안 체계 구성을 위해 부족한 영역을 담당하고 있는 기업들과 협력하는데 앞장서고 있다.

시만텍은 ATP 시장 공략을 위한 로드맵으로, 새롭게 관제 서비스를 출시하고 네트워크 보안 벤더들과 ATP 연합을 구성해 다각적인 해결책을 고객들에게 제시한다는 방침을 밝혔다.

시만텍이 출시할 ATP 보안 관제 서비스는 시만텍의 차기 지능형 위협 탐지 솔루션으로, 시만텍은 자사의 엔드포인트 보안 솔루션과 써드 파티 네트워크 보안 벤더의 제품을 통합했다.

시만텍은 ATP 보안 관제 서비스 제공을 위해 네트워크 보안 벤더들과 지능형 위협 보안 동맹을 조직했다. 체크포인트, 팔로알토 및 시스코가 인수한 소스파이어 등이 함께 하고 있으며, 시만텍은 파트너 생태계를 기반으로 악성 네트워크와 엔드포인트 활동의 연관성 및 탐지를 통해 주요 보안 위협을 정확히 찾아내고 오류 경고를 현저히 줄여 고객들이 주요한 위협에 빠르게 대응할 수 있도록 한다는 계획이다.

블루코트 역시 통합 보안 체계 솔루션 구성을 위해 빠르게 움직이고 있다. 블루코트는 HP와 협력해 APT 방어를 위한 통합 보안 솔루션을 출시한다.

블루코트와 HP가 출시하는 통합 보안 솔루션은 전 세계적으로 발생하는 최신 보안 이슈와 관련된 인텔리전스 정보를 자동으로 공유하여 보안 위협을 빠르게 탐지하고 각 상황에 맞춤화된 해결 방법을 제시함으로써 강화된 보안 체계를 구축하는 것을 목표로 하고 있다.

양사는 협력 관계 강화를 통해 블루코트의 지능형 위협 보안(ATP) 솔루션과 HP의 보안 인텔리전스 플랫폼인 HP 위협정보 센트럴(HP Threat Central) 및 자동 위협 정보 평가 솔루션(Automated Threat Assessments)을 통합함으로써, 보안 담당자가 보안 침해와 사고 발견, 대응에 이르기까지의 소요 시간을 최소화시켜 보다 안정적인 보안 환경을 운영할 수 있도록 지원한다는 계획이다.

국내 업계, 더 이상 ‘나 홀로’ 안 돼

국내 보안 시장은 그동안 토종 기업들의 강세로 인해, 전 세계에서 큰 영향력을 갖고 있는 글로벌 기업들이 활개를 치지 못하는 곳이었다. 그러나 지난해 3.20 전산대란 이후 APT 공격과 같은 보안 이슈에 토종 기업들이 무력한 모습을 보이자, 글로벌 기업들의 국내 시장 공략이 한층 가속화됐다. 전 세계에 퍼져있는 네트워크를 통해 많은 데이터를 수집하고, 각지에서 일어나고 있는 보안 이슈에 대한 대비를 할 수 있다는 점이 강력한 무기가 됐기 때문이다.

이에 국내 보안 업계도 더 이상 앉아있을 수만은 없게 됐다. 글로벌 기업들과의 제휴를 통해 발생하고 있는 보안 이슈에 빠르게 대응하고 기술력을 높이는 등 경쟁력을 강화시킬 방안을 강구하게 됐다.

지난해 본격적으로 APT 솔루션 시장에 뛰어든 인포섹은 ‘통합 APT 대응서비스’를 출시했다. 컨설팅, 관제, SI, 전문 대응 솔루션 등 전 분야에 걸친 보안 분석을 통해 향후 발생할 수 있는 고도화된 APT 공격에 효과적으로 대응할 수 있는 것을 목표로 하고 있다.

인포섹은 APT 솔루션 구성을 위해 미국 APT 대응 전문기업 카운터택과 APT 위협 대응을 위한 파트너십을 체결했다. 파트너십 체결을 통해 양사는 글로벌 사이버 위협을 공유하고 엔드포인트 기반 APT 대응 기술협력을 진행하게 되며, 인포섹은 미국 내 다수의 레퍼런스를 확보한 APT 전문 대응 솔루션인 센티넬(Sentinel)을 국내시장에 독점 공급한다.

SGA도 지난해 글로벌 APT 전문기업 파이어아이와 ‘사이버 침해사고에 대한 공동 대응 및 기술협력’을 위한 양해각서(MOU)를 체결했다. 양사의 협력은 주요 사이버 표적공격의 원인인 악성코드의 탐지와 차단에 주력해 온 기술력을 토대로, 고도화·지능화되고 있는 보안위협에 전략적으로 대응하기 위함이다. 양사는 정기적인 워크숍, 세미나 등을 통해 악성코드 샘플 및 분석 기술에 대해 공유하는 한편, 사회적으로 이슈가 되는 정보 보안 침해사고 발생 시 사고 분석과 대응을 공동으로 수행하는 등 적극적인 협력에 나선다.

SGA는 파이어아이와 협력을 바탕으로 APT 대응 솔루션 ‘APT 체이서(APT Chaser)’를 통한 시장 공략에 박차를 가한다. SGA는 ‘APT 체이서’를 파이어아이의 ‘MPS(Malware Protection System)’ 제품과 연동시킴으로써, 정밀화된 악성코드 수집 정보를 토대로 APT 공격의 신속한 탐지 및 치료가 가능하도록 했다.

국내 기업, 독자 생존 위한 기술 개발 박차

글로벌 기업들과 제휴를 통해 APT 공격에 대한 대응력을 높이고 있는 기업들과 달리, 또 다른 토종 기업들은 기술 개발을 통해 독자적인 통합 보안 체계를 갖추고자 노력하고 있다.

안랩은 APT 대응 솔루션 트러스와처(해외출시명 MDS)를 출시하며 다계층 보안 방법을 완성시켜 나가기 위해 노력하고 있다. 안랩의 APT 솔루션은 네트워크 영역 보안을 담당하며, 조직 네트워크 영역에서 실시간으로 탐지된 신종 악성코드를 삭제하는 기능은 물론, USB 또는 암호화 트래픽을 통해서 유입된 악성코드의 실행을 차단하고 분석하는 ‘실행 보류(execution holding)’ 기능까지 제공해 잠재적인 위협까지 사전 대응이 가능하도록 했다. 또한, 알려지지 않은 신종 악성코드를 탐지하기 위해서 다차원 기반의 동적 행위 분석을 수행하고, 문서 파일 등의 비실행형 파일에 대한 동적 콘텐츠 분석(DICA: Dynamic Intelligent Content Analysis) 기능도 제공한다.

글로벌 보안 기업들이 국내 시장 공략을 위해 들어오는 것과 달리 안랩은 자사 APT 대응 솔루션을 국제무대로 들고 나가는데 주력하고 있다. 안랩은 지난해 하반기 미국 실리콘밸리에 미국 법인을 정식 설립했으며, APT 대응 솔루션인 안랩 MDS와 오랜 기간 축적한 악성코드 분야의 탄탄한 인프라를 바탕으로 미국 APT 시장에 집중할 계획이다. 이를 위해 RSA와 같은 다양한 국제 컨퍼런스에 참가하는 등 공격적인 마케팅 활동도 진행하고 있다.

최근 사명을 바꾼 윈스도 APT 공격에 대비하기 위한 기술 개발에 힘쏟고 있다. 윈스는 악성코드를 네트워크 기반에서 단 하나의 패킷만 검사해 리소스를 최소화하면서 탐지할 수 있는 기술개발에 성공했으며, 이를 특허 출원했다.

윈스가 개발한 기술은 실행 가능한 파일의 확장자를 속이거나 암호화를 통해 내용을 변조한 후 기존 보안 솔루션을 우회하는 악성코드가 네트워크를 통해서 다운로드 될 경우, 리소스를 최소화하면서 악성코드를 탐지할 수 있는 기술이다. 기존 기술은 악성코드를 탐지할 때 사용자 PC에서 파일 단위로 검사하거나 네트워크 기반에서 모든 패킷의 재조합해 검사해야 하기 때문에 많은 리소스가 필요했다.

윈스는 새로운 기술이 보안 솔루션의 회피를 시도하는 APT와 같은 악성코드를 네트워크 기반에서 단 하나의 패킷만을 검사하기 때문에 리소스를 최소화하면서도 정확한 탐지가 가능한 기술이라고 설명했으며, 윈스의 모든 네트워크 보안 솔루션에 적용해 악성코드 탐지 능력을 한층 더 높여 스나이퍼 제품군을 구매하는 고객에게 기술적 신뢰성과 만족도를 높인다는 계획이다.