해킹, 'APT공격'과 '표적공격'의 차이는?

일반입력 :2011/09/20 16:08    수정: 2011/09/20 17:02

김희연 기자

시만텍코리아가 특정 기업을 노리는 사이버 표적 공격이 확산되는 가운데 지능형지속가능공격(APT)에 대한 최신 보안 위협 동향과 대응법을 제시했다.

시만텍은 20일 서울 소공동 웨스틴 조선호텔에서 기자간담회를 열어 비욘 엥겔하르트 아태 및 일본지역 전략 세일즈 그룹 부사장이 방한해 ‘차세대 보안위협과 대응방안’을 소개했다.

엥겔하르트 부사장은 최근 증가하고 있는 사이버 공격의 심각성에 대해 “시만텍이 美연방수사국(FBI)과 공동 조사한 결과를 보면 사이버범죄의 규모가 불법 마약 거래와 맞먹을 정도로 증가한 상황”이라고 설명했다. 또한 그런 만큼 보안에 대한 인식을 가지고 사전에 대비하는 것이 중요하다고 덧붙였다.

시만텍은 최근 보안 공격 진화의 배경으로 ▲모바일 기기 사용자 확대 ▲기업의 클라우드 및 가상화 도입 ▲정보의 폭발적인 증가를 꼽았다. IT환경이 급변하면서 보안 위협 환경 또한 더욱 복잡화·다양화되고 있다는 것이다.

APT공격은 표적 공격에서 더욱 발전된 개념으로 특정 기업이나 조직 네트워크에 침투해 활동 거점을 마련하고 기밀정보를 수집해 지속적으로 공격하는 은밀한 형태를 띄고 있다.

이에 시만텍은 기존 표적공격과 APT공격이 차이점이 있다고 강조했다. APT도 표적공격 안에 속하는 개념이긴 하지만 더욱 광범위하게 접근한다는 것이다. APT공격은 ‘불특정 다수’가 아닌 특정 대상만을 공격하기 때문에 기존 해킹과 구별된다는 이야기다.

엥겔하르트 부사장은 시만텍 분석에 따라 기존 표적공격과 APT공격의 차이점을 단계별로 나눠 설명했다. APT공격은 ▲표적 조직으로의 침투 ▲침투 후 정보 검색 ▲목표한 정보 수집 ▲정보 유출의 4단계로 실행된다. 이는 각 단계 별로 다양한 기술의 공격 형태를 보인다.

먼저 침투 단계에서는 타깃으로 하는 조직 내부로 침투해 오랜시간에 걸쳐 공격한다. 해커들은 사전에 사회 공학적 기법을 이용해 타깃이 되는 해당 조직이나 특정 개인에 대해 정보를 파악하고 연구 조사한다. 쉽게 말해, 해커들이 개인을 공격 대상으로 삼았다면 페이스북 등과 같은 소셜 네트워크 사이트를 통해 특정 개인에 대한 정보를 수집해 맞춤형 공격을 실행하는 것이다.

2단계 검색단계에서 표적공격과 APT공격의 차이점을 잘 나타내준다. 정보 검색을 통해 공격 환경에 대한 전반적인 프로파일링을 통해 민감한 정보가 어디에 있는지 먼저 파악할 수 있다는 것이다. 이를 통해 해커들은 어떤 정보를 빼내갈 것인지 계획을 세우게 된다.

3단계는 정보 수집 단계다. 이 때 보호되지 않은 시스템 저장 데이터는 즉시 공격자에게 노출되게 된다. 또한 조직 내 데이터와 명령어 수집을 통해 표적 시스템이나 접속 포인트에 정보를 탈취할 수 있는 악성코드를 다시 감염시키기도 한다.

관련기사

마지막 4단계에서는 공격자들이 표적 시스템의 제어권을 장악하게 된다. 이를 통해 공격자들은 중요 정보 유출은 물론 시스템 손상까지 입힐 수 있다.

엥겔하르트 부사장은 “통상적인 공격의 경우는 자동화된 방식을 많이 이용하고 있으며, 많은 수의 기업들을 대상으로 이뤄지는 것이 일반적이다”면서 “그러나 APT공격은 특저 대상을 지속적으로 이용하고 사전 공격을 통해 수집한 정보를 바탕으로 단계별로 이뤄지는 것이 특징”이라고 설명했다.