[보안 위협 트렌드] 당신 기업은 이미 그들의 표적일지 모른다.

우이독경(牛耳讀經), 대우탄금(對牛彈琴), 마이동풍(馬耳東風). 이렇게 밖에 말할 수 없는 상황이 끊임없이 계속된다. 이쪽에서는 피를 토하는 심정으로 끊임없이 경고하며 경각심을 일깨우는데, 저쪽에서는 눈길 한번 돌리지 않는 경우가 허다하다. 여기저기서 메카톤급 보안 사고가 연일 터지는데, 그렇게 소를 잃고도 외양간을 고치기는 커녕 심각한 불감증에 걸린 개인이나 기업들이 적지 않다.

시만텍이 지난 주 보안위협 보고서를 통해 최근의 사이버 보안 위협 트렌드와 대응 방안을 발표했다. 보고서를 훓어 보면 갈수록 상황은 심각해 지고 있고, 지능적이고 집요한 악의적인 공격의 강도는 광범위하면서 지속적으로 증가하고 있다. 특히 보안 위협의 양상이 '표출' 시도에서, 목적 있는 '파괴'로 옮겨가고 있다는 점은 눈 여겨 보아야할 부분이다.

최근 들어 사이버 공간에서 가장 큰 위협요소로로 시만텍은 '지능적 지속위협(APT, Advanced Persistent Threat)'을 꼽았다. 지능적 지속 위협은 특정 기업이나 조직 네트워크에 침투해 활동 거점을 마련한 후, 지속적이며 계획적으로 민감한 정보를 수집하거나 공격하는 보안 위협을 말한다.

흔히 해킹이라고 통칭하는 네트워크 상에서의 보안위협은 크게 두 가지로 나눈다. 개인이나 금전적인 이득이 아닌 사회나 정치적인 의사를 표출하기 위한 방법으로 자행하는 핵티비즘(Hacktivism), 장기간 은밀하게 활동하면서 기간시설 파괴나 국가나 기업의 정보를 수집하는 스턱스넷(Stuxnet)이 그것이다. 특히 스턱스넷은 인터넷과 같은 오픈 네트워크가 아닌 기업이나 국가의 전용 네트워크를 통해 공격하고 대상이 핵발전소와 같은 기간시설이라 그 위험성이 일반적인 해킹과는 차원이 다르다.

지능적 지속 위협은 이러한 단순한 표적공격 형태의 위협보다 더욱 지능화된 형태로 지속적으로 진행된다는 점에서 더욱 위협적이다., 모바일 기기의 빠른 보급, 클라우드와 가상화 환경이 트렌드로 급부상하고 있는 기업환경 등은 지속적 지속위협이 점점 증가하고 이를 대응하는 것이 더욱 어려워지게 만드는 요인이다.

시만텍이 보안위협 보고서를 통해 밝힌 지능적 지속위협의 특징, 공격 방법, 대응 방안을 보면 아래와 같다. 아마도 대부분의 사람들은 여전히 알고도 무시하거나 아예 아는 것 자체를 원하지 않을 지도 모르겠다. 지금이라도 보호해야할 정보를 정의하고, 검색하고, 통제하는 정보보호 프로세스를 만들고 필요한 장비아 솔루션을 갖추는 것이 필요한 때다.

APT 공격의 특징 - 킬 체인 생성과 장시간 활동

특정 기업이나 조직을 노리는 표적 공격은 ‘드라이브바이다운로드(Drive-by download)’, SQL 인젝션, 악성코드, 스파이웨어, 피싱이나 스팸 등 다양한 공격 기술을 사용한다.

APT 공격도 이 같은 기술들을 사용하지만 공격 성공률을 높이고 첨단 보안 탐지 기법을 회피하기 위해 제로데이 취약점 및 루트킷 기법과 같은 고도의 공격 기술을 복합적으로 이용하기 때문에 지능적이고 위협적이며, 당한 기업들도 보안 사고가 터지기 전까지는 APT 공격에 당했다는 사실 조차 모르는 경우가 대부분이다.

APT 공격을 다른 표적 공격과 구분짓는 특징들은 다음과 같다.

?지능적(Advanced) ? 일반적인 공격 방법과 더불어APT는 제로데이 취약점이나 루트킷 기법과 같은 고도의 지능적인 보안 위협을 동시다발적으로 이용해 표적으로 삼은 목표에 침투해 은밀히 정보를 빼돌리는 ‘킬 체인(Kill Chain)’를 생성한다.

제로데이 취약점이란 프로그램에 문제가 알려지고 난 후 보안패치가 나올 때까지의 시간차를 이용해서 공격하는 것으로, 보안 패치가 나오기 전까지는 각종 보안 위협에 무방비로 노출되는 셈이라 특히 위험하다. 또한 루트킷 기법은 컴퓨터 운영체제가 구동되기 전에 윈도우 컴퓨터의 마스터 부트 레코드(MBR)를 변경해 컴퓨터에 대한 통제권을 획득하는 기법으로, 보안 소프트웨어를 통한 탐지를 어렵게 한다.

일례로, 현재까지 알려진 최악의 APT 공격이자 ‘사이버 미사일’로 불리는 스턱스넷의 경우 4개의 제로데이 취약점과 루트킷 기법 등을 종합적으로 이용한 것으로 밝혀졌다.

?지속적(Persistent) ? APT 공격은 보안탐지를 피하기 위해 은밀히, 천천히 움직여야 하므로 일반적으로 긴 시간 동안 행해진다. 다수의 표적 공격이 순식간에 목표를 공격해 필요한 정보를 탈취해가는 이른바 ‘스매시&그랩(Smash and Grab)’형 공격이라면 APT는 표적으로 삼은 목표 시스템에 활동 거점을 마련한 후 은밀히 활동하면서 새로운 기술과 방식이 적용된 보안 공격들을 지속적으로 가해 정보 유출이나 삭제 또는 시스템에 대한 물리적 피해 등 공격자들이 궁극적으로 원하는 목적을 이루는 것이다.

?공격 동기(Motivated)- APT는 주로 국가간 첩보활동이나 기간시설 파괴 등의 특정 목적을 달성하기 위해 행해지며, 대부분 배후에 적성국(敵性國)이 후원하는 첩보조직이나 단체가 연루되어 있다. 이는 APT가 단순히 정보 유출만을 노리는 것이 아니라 공격자가 지속적으로 표적을 원격 조종하여 정보 유출을 포함해 시스템 운영을 방해하거나 물리적인 타격까지 노리고 있다는 것을 시사한다.

?공격 목표(Targeted) ? 지적 재산권이나 가치있는 고객 정보를 가진 거의 모든 조직들이 표적 공격의 대상이라면 APT는 주로 정부 기관이나 기간시설, 방위 산업체, 그리고 전세계적으로 경쟁력 있는 제품, 기술을 보유한 주요 기업들과 이들의 협력업체 및 파트너사들을 노린다.

이 같은 특징들에 비추어 볼 때 모든 기업들이 APT의 공격 대상이 아님은 분명하다. 일부 보안 전문가들은 현재 APT 보안 위협이 과대 포장되고 있으며, 사실 대부분의 기업들은 이 공격과 연관이 없다고 이야기 하기도 한다. 다른 한편으로 APT는 장기간에 걸쳐 은밀히 활동하는 목표가 분명한 표적 공격으로 정의되고 있으며, 거의 모든 기업이 표적 공격을 문제 삼고 있는 만큼 다양한 최신 보안 위협에 효과적으로 대응하기 위해서는 APT를 보다 잘 이해할 필요가 있다.

APT 공격 방법 - 침투, 검색, 수집, 유출 4단계

일반적으로 APT 공격은 침투, 검색, 수집 및 유출의 4단계로 실행되며, 각 단계별로 다양한 공격 기술을 사용한다.

1단계: 침투(Incursion)
일반적으로 표적 공격시 해커들은 훔친 인증정보, SQL 인젝션, 표적 공격용 악성코드 등을 사용하여 목표로 삼은 기업이나 조직의 네트워크에 침투한다. APT도 이러한 공격 방법들을 사용하지만 오랜 시간에 걸쳐 공격 대상 시스템에 활동 거처를 구축하는데 초점을 맞춘다.

?관찰(Reconnaissance): APT 공격자들은 표적으로 삼은 시스템, 프로세스 및 파트너와 협력업체를 포함한 사람들을 파악하기 위해 수개월에 걸쳐 공격 목표를 철저히 연구하고 분석한다. 이란 핵 시설을 공격했던 스턱스넷의 경우, 공격 팀은 목표로 삼은 우라늄 농축시설에 사용되는 PLC(Prorammable Logic  Controllers)에 대한 전문 지식을 보유하고 있었다.

?사회 공학(Social engineering): 목표 시스템으로의 침투를 위해 공격자들은 내부 임직원이 실수나 부주의로 링크를 클릭하거나 첨부파일을 열게끔 사회 공학적 기법을 접목하기도 한다. 전형적인 피싱 공격과 달리 이러한 공격은 공격 목표에 대한 철저한 관찰을 통해 진행된다. 가령 공격자가 A라는 기업의 시스템 관리자를 노린다면 공격자는 사전에 이 관리자의 개인 블로그, 트위터, 페이스북 등을 검색해 생년월일, 가족 및 친구관계, 개인 및 회사 이메일 주소, 관심 분야, 진행중인 프로젝트 등의 정보를 수집한 후 이를 이용해 피싱 메일을 보내는 식이다.

?제로데이 취약점(Zero-day vulnerabilities): 제로데이 취약점은 개발자들이 패치 등을 제공하기 전에 소프트웨어 개발자들 모르게 공격자들이 악용할 수 있는 보안상 허점으로 보안 업데이트가 발표되기 전까지는 무방비 상태와 같다. 반대로 제로데이 취약점을 발견 하기 위해서는 상당한 시간과 노력이 걸리는 만큼 가장 정교한 공격 기관만이 이를 활용할 수 있다. APT는 공격 목표에게 접근하기 위해 하나 이상의 제로데이 취약점을 이용한다. 스턱스넷의 경우 동시에 4개의 제로데이 취약점을 이용한 것으로 나타났다.

?수동 공격(Manual operations): 일반적으로 대규모 보안 공격은 효과를 극대화 하기 위해 자동화를 선택한다. 일례로 ‘스프레이&프레이(Spray and pray)’로 불리는 피싱 사기는 자동 스팸 기술을 사용하여 수천 명의 사용자들 중 일정 비율이 링크나 첨부파일을 클릭하도록 한다. 반면, APT는 자동화 대신 각각의 개별 시스템과 사람을 표적으로 삼아 고도의 정교한 공격을 감행한다.

2단계: 검색(Discovery)
한번 시스템의 내부로 침입한 공격자는 기관 시스템에 대한 정보를 수집하고 기밀 데이터를 자동으로 검색한다. 침투로 인해 보호되지 않은 데이터나 네트워크, 소프트웨어나 하드웨어, 또는 노출된 기밀 문서, 추가 리소스 등의 경로가 탐색될 수 있다. 대부분의 표적 공격은 기회를 노려 공격을 하지만, APT 공격은 보다 체계적이고 탐지를 회피하기 위해 엄청난 노력을 기울인다.

?다중 벡터(Multiple vectors): APT 공격시 일단 악성코드가 호스트 시스템에 구축되면 소프트웨어, 하드웨어 및 네트워크의 취약점을 탐색하기 위해 추가적인 공격 툴들이 다운로드 될 수 있다.

?은밀한 활동(Run silent, run deep): APT의 목표는 표적의 내부에 잠복하면서 장시간 정보를 확보 하는 것이므로, 모든 검색 프로세스는 보안탐지를 회피하도록 설계된다.

?연구 및 분석(Research and analysis): 정보 검색은 네트워크 구성, 사용자 아이디 및 비밀번호 등을 포함하여 확보된 시스템과 데이터에 대한 연구 및 분석을 수반한다.

APT 공격을 탐지하면 가장 먼저 해당 공격이 얼마나 지속되었나를 살펴봐야 한다. 전형적인 표적 공격으로 계좌 번호가 유출되었다면 데이터가 유출된 날짜나 피해 정도를 평가하기는 그리 어렵지 않다. 하지만, APT 공격을 당했다면 언제 공격을 받았는지 가늠하기가 거의 불가능하다. 침투 및 검색 활동이 매우 은밀히 진행되기 때문에 피해자는 로그 파일을 점검 하거나 심지어는 관련 시스템을 폐기해야 할 수도 있다.

3단계: 수집(Capture)
수집 단계에서 보호되지 않은 시스템에 저장된 데이터는 즉시 공격자에게 노출된다. 또한, 조직 내의 데이터와 명령어를 수집하기 위해 표적 시스템이나 네트워크 액세스 포인트에 루트킷이 은밀하게 설치될 수 있다.

?장시간 활동(Long-term occupancy):APT는 오랜 기간 지속적으로 정보를 수집하도록 설계되었다. 예를 들어, 2009년 3월 발견된 고스트넷(GhostNet)으로 알려진 대규모 사이버 스파이 사건은 103개 나라의 대사관, 외국 부처 및 기타 정부 기관을 포함해 인도, 런던 그리고 뉴욕의 달라이 라마의 티벳 망명 센터 컴퓨터 시스템에 침투하였다.

‘인포메이션 워페어 모니터(Information Warfare Monitor)’ 보고서에 따르면, 고스트넷은 2007년 5월 22일에 데이터를 수집하기 시작해 2009년 3월 12까지 지속된 것으로 나타났다. 평균적으로 감염된 호스트가 활동한 시간은 145일이었고, 가장 긴 감염 시간은 660일이었다.

4단계: 제어(Control)
APT 공격의 마지막 단계로, 불법 침입자들은 표적 시스템의 제어권을 장악한다. 이 단계를 통해 공격자들은 지적 재산권을 포함해 각종 기밀 데이터를 유출하며, 소프트웨어 및 하드웨어 시스템에 손상을 입힌다.

?유출(Exfiltration): 기밀 데이터가 웹 메일 혹은 암호화된 패킷이나 압축파일 형태로 공격자에게 전송된다.

?지속적인 분석(Ongoing analysis): 도난된 신용카드 번호가 금전적 이득을 위해 재빨리 이용되는 반면, APT 에 의해 수집된 정보는 전략적 기회를 포착하기 위한 연구에 이용되곤 한다. 이러한 데이터는 이 분야의 전문가들에게 하나의 지침서가 되어 영업 비밀을 캐내거나 경쟁사의 행동을 예측하여 대응 방안을 수립하는데 도움이 될 수 있다.

? 중단(Disruption): 공격자는 원격 시동이나 소프트웨어 및 하드웨어 시스템의 자동 종료를 야기할 수도 있다. 많은 물리적 장치가 내장형 마이크로 프로세서에 의해 제어되고 있는 만큼 시스템이 교란될 가능성이 커진다. 명령 및 제어 서버는 은밀하게 표적 시스템을 제어하고 심지어 물리적 피해를 야기할 수도 있다.

마지막으로 직원교육을 강화해야 한다. 아무리 좋은 시스템과 보안 솔루션을 구축한다 하더라도 결국 이를 운용하는 것은 사람이고, 확고한 보안 인식이 갖춰지지 않는다면 보안 사고는 언제라도 일어날 수 있다.

불의의 사태에 대비해 민방위 훈련을 하듯, 기업들도 보안 가이드라인을 마련하고 정기적으로 인터넷 안전, 보안 및 최신 위협에 관해 직원교육을 실시하는 한편, 교육을 통해 정기적인 비밀번호 변경 및 모바일 기기 보안의 중요성을 알려야 한다.