APT 라이프사이클로 본 전산망 마비

일반입력 :2013/03/29 15:07    수정: 2013/03/29 15:08

손경호 기자

적을 알아야 충분한 대비책을 마련할 수 있다. 최근 발생한 3.20 전산망 장애는 특정 목표를 오랫동안 관찰하고, 연구한 뒤 이뤄진 지능형지속가능위협(APT) 공격으로 밝혀졌다. 이에 따라 APT의 전형적 라이프사이클을 보면 공격에 대한 주요 항목에서의 대비책을 마련할 수 있을 것으로 보인다. 보안전문가들이 지적하듯 핵심은 '소 잃고 외양간 고칠 것'이 아니라 '꺼진 불도 다시 보자'는 것이다.

29일 국내외 보안업계에 따르면 공격자들은 이번 3.20 전산망 장애를 일으키기 위해 꽤 오랜시간 동안 준비해 왔다.

시만텍은 APT공격이 침투->탐색->수집->유출 순으로 이뤄진다고 말한다. 전형적인 수법 대로라면 방송사, 금융회사가 보유한 내부 정보들이 유출됐어야 하나 현재로서는 단순파괴기능만 갖고 있는 것으로 나타났다. 사회 혼란을 유발하는 것이 목표였다는 것이다. 일부 보안전문가들은 혼란을 틈타 다른 곳에서 비슷한 수법으로 중요정보를 유출시켰을 가능성이 있다는 주장을 지속적으로 제기하고 있다.

■사고 전부터 침투, 탐색 징후 나와

빛스캔에 따르면 지난 11일부터 주중에도 국내 웹사이트가 악성코드 유포지로 활용되는 사례들이 나오기 시작했다. 약 일주일 전부터 공격을 예고하는 정황들이 포착되고 있었다는 설명이다. 이 단계에서 공격자들은 침투, 탐색을 수행했다. 이들은 부팅영역(MBR)을 파괴시키는 실제 공격을 수행하기 전 외부에서 접속할 수 있는 통로를 만들었다. 전형적인 수법으로는 보안이 취약한 웹사이트의 관리자 권한을 탈취한 뒤 이 사이트를 방문하는 사람들이 백도어, 트로이목마와 같은 악성코드에 감염되도록 하는 것이다.

이 악성코드들에 감염되면 공격자는 대상 PC를 마치 제 집 드나들 듯 오가면서 추가적인 취약점을 찾아낼 수 있다. 사고가 발생한 KBS, MBC, YTN, 신한은행, 농협 등은 모두 많은 사용자들이 접속하는 웹사이트인 만큼 당초 다른 사이트에 접속해 악성코드에 감염됐던 피해자의 PC가 주요 방송, 은행 웹사이트에 악성코드를 심는 경유지로 활용됐을 가능성이 높은 상황이다. 실제로 3.20 전산망 마비 일주일 전에 발견된 악성코드 실행파일에는 'KBS.exe', 'iMBC.exe' 등의 실행파일이 포함돼 있었다.

피해를 입은 기관들은 내부 데이터베이스(DB)와 외부 인터넷 접속용 홈페이지를 다른 서버에서 관리한다. 이는 해킹이나 망장애로 인해 중요정보가 날아가거나 유출되는 것을 막기 위한 안전조치다. 문제는 공격자들이 초기에 침투, 탐색 단계를 통해 확보한 통로를 통해 내부 망에까지 접속한다는 것이다.

피해기관에 악성코드를 효과적으로 뿌리기 위한 경로로 안랩, 하우리 등 주요 보안회사가 제공하는 패치관리시스템(PMS)이 사용됐다. 공격자들은 주요 기관들이 백신이나 주요 프로그램에 대한 패치는 반드시 설치한다는 점을 악용했다. 안랩은 농협 사고의 경우 자사가 공급한 APC서버의 인증을 우회할 수 있는 취약점이 공격자들에 의해 사용됐다고 인정했다.

■정보수집 안 한 채 파괴 기능만? 글쎄

수집단계에서 공격자는 장시간 피해기관의 내부서버에 머물면서 정보를 유출시킨다. 시만텍에 따르면 지난 2009년 3월 발견된 '고스트넷'은 103개 나라의 대사관, 외국 부처, 정부기관 등의 전산시스템에 침투해 약 2년 동안 정보를 수집해 온 것으로 알려졌다.

그러나 전형적인 APT공격과는 달리 3.20 전산망 마비는 외부로 정보가 유출된 흔적은 발견되지 않았다. 이에 대해 보안전문가들은 자신들이 마련한 공격방법이 실제로 실행되는지를 확인하기 위한 사전테스트 성격이 강하다는 의견을 내놓고 있다.

실제로 빛스캔은 공격자가 지난 17일, 18일 유포한 악성파일 'iMBC.exe'의 바이너리에서 'hades08'이 포함된 도메인 주소를 발견했다. 이는 공격자가 직접 명령을 내리는 C&C서버의 주소이며, 사고 이후 유포된 변종 악성코드에서도 같은 C&C서버 주소가 발견됐다.

이 같은 정황으로 미뤄 공격자는 3.20 대란에서는 이슈몰이 하고, 다른 곳에서는 정보를 빼가는 등의 2차 공격을 수행했을 것이라는 의견이 꾸준히 제기되고 있다.

전형적인 APT공격에서 공격자는 자신이 생각한 목표를 달성했다고 판단할 경우 C&C서버를 통해 증거를 인멸하기 위해 대상 시스템을 마비시키거나 자신이 접속했던 흔적을 아예 지워버리는 작업을 수행한다. 이를 통해 공격이 마무리 되는 것이다.

■APT 공격 대응, 포괄적 접근이 기본

관련기사

미국 국가표준국(NIST)은 8가지 보안 원칙 중 '보안은 포괄적이고, 통합된 접근을 요한다'고 명시하고 있다. OECD에서도 마찬가지로 기술적, 물리적, 관리적 보안을 총체적으로 수행해야한다고 밝히고 있다.

최근 발생한 사고 일련의 APT 공격 역시 기본적인 공격방식을 숙지한 뒤 보안분석가들의 초기에 포착한 이상 징후를 바탕으로 관계기관들 간 신속한 정보공유를 통해 보안회사만이 아니라 여러 기관들의 협력이 필요할 것으로 예상된다.