제4의 영토로 떠오르고 있는 사이버 공간이 최근 지능형지속가능위협(APT)공격으로 몸살을 앓고 있다. 특정 기업만을 노리는 사이버 표적 공격이 성행중이다. 특히 보안공격을 우회하는 것은 물론이고 사용자가 장기간 피해사실을 알지 못하는 경우도 많아 피해가 확대될 우려도 있다.
시만텍 ‘2011 노턴 사이버 범죄 보고서’에 따르면 지난해 사이버 범죄로 인한 직간접적인 피해규모만 417조원에 달하는 것으로 나타났다. 지난 2004년 인도네시아에서 발생한 쓰나미의 피해규모가 약 1조원임을 감안하면 사이버 공간에서는 매년 417번 이상의 쓰나미 피해를 겪는 것과 같은 피해액이다.
최근 이러한 사이버 범죄 피해의 중심에는 APT공격이 있다. 보안 전문가들은 지난해부터 발생한 대부분의 해킹 피해가 APT공격으로 분석되고 있지만 기존 보안 기술로만 공격을 막을 수도 없기 때문에 더욱 문제점이라고 지적했다.
■APT공격 치밀한 작전 앞세워 ‘돌격 앞으로’
시만텍은 APT공격의 진화 배경으로 ▲모바일 기기 사용자 확대 ▲기업의 클라우드 및 가상화 도입 ▲정보의 폭발적 증가로 인해 IT환경이 급변하변서 보안 위협 환경이 복잡화·다양화 됐다는 설명이다.
APT공격은 표적 공격보다 더 발전된 개념으로 접근해야 한다. 특정 기업이나 조직 네트워크에 침투해 활동거점을 마련해 기밀정보를 수집한 후 지속적으로 공격하는 은밀한 형태를 이루고 있다. 기존 표적공격보다 더욱 광범위한 접근이 필요하며, ‘불특정 다수’가 아닌 특정 대상만을 공격한다는 점은 기존 해킹과 확실히 구분된다.
APT공격은 ▲표적 조직으로 침투 ▲침투 후 정보 검색 ▲목표한 정보 수집 ▲정보 유출 4단계를 거쳐 공격을 실행한다. 각 단계별로 공격 형태도 다양한 기술을 활용한다.
침투 단계에서는 타깃으로 하는 조직 내부에 침투해 오랜 시간 공격하며, 특정 정보를 파악해 연구 조사한다. 2단계 검색단계서는 표적공격과 가장 큰 차이점을 보이는 단계로 정보 검색을 통해 공격 환경에 대한 전반적 프로파일링을 실시해 민감한 정보가 어디에 있는지 파악해 공격 계획을 수립한다.
3단계 정보수집 단계에서는 보호되지 않은 시스템 저장 데이터는 즉시 공격자에게 노출돼 주요 공격목표에 접근할 수 있는 악성코드를 재감염시키기도 한다. 주요 표적 시스템이나 접속 포인트에 공격자가 완전히 접근가능해지는 것이다.
마지막 4단계는 표적 시스템 제어권 장악을 통해 공격자들이 중요 정보 유출은 물론 시스템까지 손상시킬 수 있다. 타깃이 되는 대상은 무방비상태로 공격을 당할 수 밖에 없는 것이다.
■APT공격 핵심, ‘정보 중심적 접근’이 해결책
APT공격은 특정 기업이나 조직을 노리는 표적공격인 드라이브 바이 다운로드, SQL인젝션, 악성코드, 스파이웨어, 피싱이나 스팸 등과 같은 다양한 공격 기술을 사용한다. 공격 성공률을 높이기 위해 첨단 보안 탐지 기법을 회피해 제로데이 취약점 및 루트킷 기법과 같은 공격 기술을 이용하기도 한다.
APT공격을 통해 공격자들은 특정 정보를 빼내가기 위해 기업들을 타깃으로 하고 있는 만큼 과거와는 확실히 다른 보안위협에 처해있어 새로운 보안 접근법이 필요한 상황이다.
비욘 엥겔하르트 시만텍 아태 및 일본지역 전략 세일즈그룹 부사장은 “최근 정보 유출에 의해 발생하는 비용이 점차 높아지고 있고, 위협상황에 변화하고 있기 때문에 정보 중심적인 접근을 통해 정보가치 자체에 주목해야 한다”고 말했다.
‘정보’는 오늘날 기업의 가장 큰 자산이 됐다. 정보화 사회로 진입하면서 이러한 추세는 더욱 가속화되고 있다. 이와 함께 APT공격 역시 증가추이를 보였다. 공격자들은 탈취한 정보를 이용해 많은 금전적 이익을 취득할 수 있게 됐기 때문이다.
이 때문에 다양한 악의적 공격과 활동을 효과적으로 차단하기 위해 기업 내부 사용자가 인터넷을 사용할 때의 ‘사전 방역’은 물론 감염PC를 즉각적으로 차단 격리하는 ‘사후 차단’의 역할도 중요하다. 각종 사이버 공격의 네트워크 유입을 사전차단하고, 유입되더라도 지속적 탐지 및 모니터링 활동을 통해 악성활동을 차단해야 한다.
진화하는 사이버 보안 위협 대응을 위해 ‘평판기반’ 보안 기술이 주목받고 있다. 공격용 툴킷의 확산과 악성코드 변종 범람으로 전통적 시그니처 기반 보안만으로는 각종 보안 위협을 방어할 수 없기 때문이다.
관련기사
- 해킹 주범 APT 공격...'대적불가?'2012.01.12
- 11월 표적공격 평균 94건...APT 위협 급증2012.01.12
- APT공격 실체는 뭐?...당혹스런 보안업계2012.01.12
- APT공격 뭐길래? '갑론을박'2012.01.12
시만텍은 APT공격 방어를 위해서는 ▲평판기반 보안 기술 ▲데이터유출방지(DLP) 솔루션 ▲보안 정보 및 이벤트 관리(SIEM) ▲정보저장소 보안강화 ▲애플리케이션 계층에서 위험한 파일 차단 등 다각도의 정보보호 체계를 갖춰야 한다는 설명이다.
엥겔하르트 부사장은 “기업들이 APT공격을 방어하기 위해서는 기본적으로 보안 툴을 최신버전으로 유지하는 것은 물론 사용하는 솔루션 업체 수를 최소화해 이종 업체 솔루션을 사용했을 때 나타날 수 있는 보안 취약점까지 모두 해소해 보안성을 강화해야 할 것”이라고 당부했다.