세상에 APT 공격 대응을 위한 단일 솔루션은 없다. 기존 보안 솔루션에 행위 기반 분석 솔루션과 클라우드 서비스를 함께 사용해야만 진화하는 APT공격에 대응할 수 있다.
시큐아이 조원용 팀장은 3일 지디넷코리아가 개최한 '시큐리티넥스트컨퍼런스2014'에서 APT 지능형 위협에 대응하기 위한 전략에 대해 설명하며 이 같이 말했다.
APT는 알려지지 않은 고도의 공격 기법들을 이용해(Advanced) 성공할 때까 지 지속적으로 시도하며(Persistent) 표적을 미리 분석해(Threat) 실행하는 공격이다. 지능형 지속 위협이라고 부른다.
다양한 경로를 통해 침투하고 공격방식 또한 기존에 알려지지 않은 제로데이 취약점을 이용한다는 점. 또 실행파일은 물론 문서파일로 위장하거나 암호화 및 난독화 해서 탐지 분석을 어렵다는 점이 APT공격의 특징이다.
조원용 팀장은 이런 APT의 특성상 기존 보안 제품으로 대응하는데 한계가 있다고 강조했다. 그는 APT공격이 정상적인 트래픽 경로를 이용하기 때문에 방화벽으로 탐지가 불가능 하고 알려지지 않은 공격 기법을 이용해 기존AV 솔루션으로 탐지가 어렵다. 또 암호화 난독화 기법을 사용해 IPS/AV솔루션으로도 탐지가 불가능하다고 말했다.
기존에 사용되고 있는 APT공격 대응 기술은 파일의 소스코드를 분석하고 알려진 악성코드와의 유사성을 비교해 악성 유무를 검사하는 정적 분석과 파일이 실행되는 과정에서 발생하는 행위를 모니터링 하고 룰셋과 비교하는 동적분석이 있다.
조 팀장은 정적분석은 해당 파일이 패킹, 암호화, 난독화돼 있으면 함수 문자열을 추출할 수 없고, 코드가 큰 파일은 내용이 너무 많아 분석이 어렵다. 동적분석은 자동화된 동적 분석 환경을 우회하는 공격이 있을 수 있고 악성 코드 동작을 위한 실행 환경 구축이 어렵고 정상 시스템 파일과 악성파일의 구분이 어렵다는 문제가 있다고 각각의 한계를 설명했다.
그는 또 다른 APT 대응 기술로 트래픽 행위 분석도 설명했다. 이는 네트워크 트래픽 분석을 통해 비정상적인 트래픽을 탐지하고 차단하는 기술이다. 그러나 역시 암호화 트래픽이 증가하고 있고 오탐하거나 실시간 대응이 부족하다는 한계가 있다.
최근에는 클라우드를 통한 분석 서비스도 나왔다. 수집된 의심 파일에 대해 클아우드 분석 센터에서 검사를 실시하고 탐지 결과 토대로 악성파일 리스트, 악성 URL정보 등을 평판DB에서 제공하는 방식이다. 그러나 악성코드 배포자들이 이미 악성코드를 테스트해 보고 탐지되지 않을 때까지 수정해 배포할 수 있다는 단점이 있다. 실제 중국에는 자동으로 악성코드를 재생성해 주는 툴까지 등장했다고 조 팀장은 설명했다.
조 팀장은 계속 진화하고 있는 APT공격을 막기 위해서 3가지 단계에서 전략이 필요하다고 강조했다. ▲우선 유입이 되지 않게 어떻게 막을 것인가 ▲감염됐을 때 어떻게 탐지하고 확산을 막을 것인가 ▲이미 감염됐을 경우 기업 주요 정보가 유출되는 것을 어떻게 막을 것인가가 핵심이다.
관련기사
- HP, 선제대응 위한 보안 플랫폼 전진배치2013.12.03
- "전통적인 보안위협은 감기, APT는 암"2013.12.03
- "모바일 보안도, 가상화 기술 대세"2013.12.03
- "규제 선진화...개인정보보호법 개선하겠다"2013.12.03
그는 우선 유입 방지를 위해서 위에 언급한 다양한 검사툴을 이용해야한다. 빠른 탐지와 확산 방지를 위해선 L2 트래픽을 검사해주고 주요 서버는 접근 통제 및 위험 명령 통제를 검토해 볼 수도 있다. 또 감염됐을 때 자료 유출을 막기 위해 자료 유출 탐지도 중요하다고 말했다.
그는 APT공격 대응을 위해선 단일 솔루션은 없으며 기존 보안 솔루션과 클라우드, 행위기반과 같이 새로운 보안 솔루션이 결합됐을 때 새로운 공격 위험에 대해서 지속적으로 대응할 수 있다고 덧붙였다.