3.20 해킹수법 APT, 가장 현실적인 대처방안은?

제로데이 취약점과 사회공학적 공격 가미돼 탐지 더욱 어려워

초기 위험요인에 대한 집중적인 관찰과 정보획득이 선행돼야

[보안뉴스=문일준 빛스캔 대표이사] 지난 3월 20일 발생한 사이버테러 이후 공공기관뿐만 아니라 민간기업에 이르기까지 APT(Advance Persistent Threat, 지능형 지속가능 위협) 공격에 대한 관심이 더욱 고조되고 있는 형국이다.

하지만 아직까지도 APT에 대한 정확한 정의, 그리고 기업이나 조직 내에서 APT 공격에 효과적으로 대응할 수 있는 기본적인 가이드조차도 부족한 것이 현실이다. 이에 여기서는 APT에 대한 현실적인 대처방안과 기업·조직의 보안 인프라 구축시 고려사항에 대해 살펴보기로 한다.

APT 공격은 방화벽, IDS/IPS, 안티바이러스(Antivirus)와 같은 전통적인 보안 솔루션이 결합된 체계에서 예방, 진단 및 차단이 어렵거나 불가능한 새로운 공격방식을 말한다. 특히, 제로데이와 사회공학적 공격이 가미되면서 탐지가 더욱 어려운 경우가 많다.

이와 관련해 백신업체를 중심으로 ‘APT는 예방이 어렵다’거나 '새로운 기술을 개발 중’이라거나 ‘자사가 개발한 제품을 도입했더라면 차단이 가능했었다’라는 등의 여러 가지 면피용 얘기도 나오고 있는 상황이다. 하지만 APT가 나온 게 이번이 처음일까? 분명 이메일이나 웹사이트를 통해 감염된 실제 파일에 대해서 진단하지 못한 부분에 대해서는 고민이 필요한 부분이라고 본다.

어떻게 APT 공격이 이뤄지는가?

후천성면역결핍증(AIDS)이 1980년대 초반에 아프리카의 풍토병에서 출발해 전 세계로 퍼져나가면서 공포의 대상이 됐다. AIDS를 언급한 이유는 바로 바이러스의 출처가 어디인지 그리고 어떻게 퍼져갔는지에 대한 역학 조사가 이뤄져야만 실제적인 예방이나 치료의 발판을 마련할 수 있기 때문이다.

앞에서도 언급했다시피, APT 공격은 기존 전통적인 보안장비를 모두 우회하거나 탐지할 수 없도록 교묘하게 이루어지고 있으며, 주로 웹사이트를 통한 감염과 이메일을 통한 감염 2가지로 나눌 수 있다.

① 웹(Drive-by-Download)

보통 웹사이트를 통해 감염된다는 의미는 게시물이나 자료실에서 악성코드에 감염된 파일을 다운로드하여 이를 통해 감염된다는 뜻이다. 하지만, 수년 전부터 국내에 유행하기 시작한 드라이브 바이 다운로드(Drvie-by-download)는 보안패치가 충분치 못한 PC 이용자가 악성코드가 삽입된 웹사이트에 방문하는 것 자체만으로 사용자의 인지 없이 자동으로 악성코드가 다운로드 및 실행되어 감염되는 방식으로 현재까지도 꾸준히 사용된다.

참고로 해외에서는 이러한 공격을 워터링홀 또는 표적 공격(Watering Hole Attack)이라고 부르지만, 이미 국내에서는 보편화된 상태이다. 국내에서는 ActiveX라고 하는 전 세계에서 유례없는 다운로드 방식을 고수하고 있다.

② 이메일

스팸 이메일을 통해 APT 공격을 수행하며, 이 또한 2가지 형태로 나눌 수 있다. 첫째는 앞서 언급한 방식과 유사한 것으로 이메일의 본문에 악성코드가 삽입된 웹사이트 링크를 넣어 둠으로써 사용자가 이를 클릭해 감염되는 방식이다. 다른 하나는 바로 첨부파일에 대한 공격으로 이 또한 다시 2가지 방식으로 나눌 수 있다.

1) 첨부파일이 실행파일인 경우 : 대부분 스팸 차단 장비 또는 S/W를 통해 미연에 손쉽게 차단할 수 있으며, 대표적인 예로는 구글이 있다. 심지어 구글에서는 ZIP으로 압축된 파일 내에 포함된 실행파일이 있는 경우까지도 차단한다.

2) 첨부파일이 DOC, HWP와 같은 문서파일인 경우 : 특정 애플리케이션의 취약점 특히, 제로데이 취약점을 이용하는 공격으로 전통적인 안티바이러스, 안티스팸으로는 진단 및 차단이 어려우며, 대부분 가상머신 또는 유사한 솔루션으로만 진단할 수 있다.

APT 공격을 막으려면?

APT 공격은 앞에서도 언급했지만, 단순하게 공격만 진행되는 것이 아니라 가장 먼저 사용자를 속이는 행위가 수반된다. 그 후 전통적인 보안 솔루션을 우회할 수 있는 다양한 기술을 사용하게 되며, 마지막으로 정보를 빼내거나 자료를 파괴하는 등의 실제 악성코드 행위가 나타나는 특징을 보인다. 결론적으로 말하면 하나의 방안으로는 해결할 수 없으며, 기존 보안체계와 연계하여 빈틈이 없도록 보완하는 체계로 진화해야 한다.

1. 사용자의 보안인식 개선 및 PC 보안 강화

대부분의 APT 공격은 사용자를 속이거나 PC의 보안취약점을 이용하는 경우가 많다. 따라서 APT의 효과적인 대응에 있어서는 사용자에게 현재 발생하는 보안사고의 동향 및 대책, 그리고 PC 보안정책의 시행 및 이행 결과 점검이 선행되어야 한다. 물론, 성능이 검증된 백신의 사용도 반드시 수반되어야 한다.

2. APT 공격의 사전탐지 및 예방

특히, 웹사이트를 통해 감염되는 APT관련 악성코드는 사전에 동일한 형태의 데이터를 수집 및 가공하여 APT에 관련된 사전탐지 정보를 이용하여 예방할 수 있는 방안을 고려해야 한다. 대표적인 예로는 구글이 제공하는 스톱배드웨어(Stopbadware)로, 실제 사용자의 입장에서는 크롬이나 사파리 브라우저를 사용할 때 사전 탐지 정보가 제공된다.

즉, 악성코드가 유포되고 있거나 최근에 유포된 적이 있는 웹사이트의 경우 이를 사용자에게 알려 방문하지 못하게 하거나 방문하더라도 위험할 수 있다는 인식을 주는 등의 장점을 제공한다.

3. APT 공격 탐지시 전문가의 필요 여부

사전 탐지 및 예방 단계를 우회하는 APT 공격이라면 이미 기업이나 조직의 네트워크 또는 PC 내에 악성코드가 감염되고, 그 이후의 추가적인 공격이 가능한 상태 즉, 좀비 PC로 동작하는 상태로 이미 매우 위험한 상태라고 말할 수 있다.

사후 대응적 측면이라고 볼 수 있지만, APT 대응 솔루션은 좀비 PC의 활동, 예를 들면, C&C 봇넷으로 연결하는 정보 등을 분석하여 좀비 PC 여부를 탐지, 이를 보안관리자에게 알려 주는 기능을 제공한다. 이 경우 보안관리자는 기업 내의 담당자로 충분한지 아니면 외부 전문가가 참여해 정보를 분석하고 대응해야 하는지 살펴볼 필요가 있다. 무엇보다 기업 내의 담당자가 판단하고 대응할 수 있으면 보다 신속한 대응이 가능하다.

4. APT 공격 탐지시 차단

좀비 PC가 발견되면 해당 PC는 포맷하는 등의 방법으로 손쉽게 대응할 수 있지만, 내부에서 외부로 연결하는 C&C 정보 등이 있는 경우에는 차후 공격 등을 예방하고, 동일한 공격으로 내부에 감염된 PC를 찾아내기 위해 차단 정보를 네트워크 장비 등에 등록할 수 있어야 한다.

이 경우도 앞서와 마찬가지로 보안전문가가 필요한지 확인해야 한다. 특히, APT 공격을 탐지하는 솔루션에서 차단 기능을 제공하는지 여부도 확인해야 하며, 그렇지 않은 경우에는 기존 보안 인프라에서 차단할 수 있는지 기능을 확인하고, 관련 절차를 마련해야 한다.

5. 기존 보안 인프라에서 사용되는 DB와 중복 여부 확인

APT 공격을 수행하는 공격자는 기존 IDS/IPS 패턴, 안티바이러스 패턴 등을 사전에 검증하여 탐지하기 어렵도록 우회한다. 따라서 기존 보안 인프라에서 사용되고 있는 Snort Rule, Antivirus Signature 들은 목록화해야 하고, APT 탐지 솔루션과는 중복되지 않도록 해야 한다. 특히, 일부 APT 차단 솔루션은 안티바이러스(Antivirus) 엔진을 기반으로 하는 경우가 많은데, 이 경우 해당 안티바이러스 엔진을 우회하면 APT 솔루션 또한 우회할 수 있는 가능성이 높아지므로 더욱 주의가 필요하다.

종합해보면, APT 공격에 효과적으로 대응하기 위해서는 초기 감염경로를 확인하고 위험요인을 지속적으로 제거해야 한다. 또한, 관찰을 통해 각 부분별로 협력적으로 연계되도록 하는 일도 중요하다. 단순히 실행기반으로 위험성을 판별하거나 패턴을 통해 탐지를 하는 방식으로는 단편적인 대응만이 가능하다. 
초기 관찰을 통해 위험요인을 줄여나가고, 보유하고 있는 각 보안장비들을 효율적으로 활용 할 수 있도록 다양한 관찰결과들을 즉시 반영할 수 있어야 APT의 위험으로부터 점차적으로 벗어날 수 있다. 가장 우선적인 요구사항은 초기 위험요인에 대한 집중적인 관찰과 정보획득이라고 할 수 있다.

 

출처 : 보안뉴스