지디넷코리아 후배 손경호 기자는 지능형 지속가능위협(Advanced Persistent Threat: APT) 관련 기사를 자주 쓴다. 하루 평균 한번씩은 APT 얘기가 나오는 것 같다. 후배 기사를 자주 접하다보니 기자에게도 APT는 이제 꽤나 친숙한 용어가 됐다.
APT라는 말이 어떤 과정을 거쳐 보안 업계에서 공통으로 쓰는 단어가 됐는지는 잘 모르겠다. 분명한 건 APT라는 말만 듣고선 도대체 무슨 의미있지 파악하기 힘들다는 것이다. 지능형 지속 가능 위협이라, 참 애매하고도 애매한 말이 아닐 수 없다.
APT에 대해 기자가 알고 있는 건 한줄 요약 수준이다. 알려지지 않은 취약점을 노린 공격이다. 이것만 알아도 큰 문제는 없을 수 없다. 그러나 후배와 소통해야 하는 입장에선 APT 한줄 요약본만으로는 갈증이 많이 느껴진다.
후배 손경호 기자가 쓴 APT 기사를 보다보면 익스플로잇(exploit)이라든지, C&C(Command & Control) 서버와 같은 용어들도 심심치 않게 등장한다. APT와 마찬가지로 듣기만 해선 해독이 쉽지 않은 단어들이다. 특히 익스플로잇은 그런게 있다고 그냥 넘어가기엔 기사에서 갖는 중량감이 꽤 커 보인다. 읽다보면 익스플로잇은 APT 공격의 핵심같다는 생각이 든다.
APT 대응 솔루션 시장 판세는 그동안 전문 업체간 경쟁 구도였다. 주로 파이어아이와 안랩 등이 치고받고 싸웠다. 그런데 최근 분위기는 확 달라졌다. 거물급 방화벽 업체들이 너도나도 APT, APT 외치면서 APT는 단숨에 보안 업계 격전지를 상징하는 키워드가 됐다.
그런만큼, APT라는 헤드라인을 단 기사가 앞으로 급증할 것으로 보인다. 그속에는 익스플로잇이라고 하는 해독이 쉽지 않은 단어도 많이 포함되어 있을 것이다. 기자는 최근 파이이어이코리아 김현준 상무로부터 APT 공격이 어떻게 진행되는지에 대한 기초적인 설명을 들었다. APT나 익스플로잇에 대해 들어는 봤는데, 정확하게 무슨 의미인지는 잘 몰랐던 기자와 같은 이들이 많지 않을까 싶다. 이해한 범위에서 김현준 상무의 브리핑을 정리해봤다.역시 APT 공격에서 핵심은 익스플로잇이었다.
익스플로잇은 악성코드가 아니다. APT처럼 한줄로 요약하면 익스플로잇은 취약점을 이용해 악성코드를 공격 대상자 몰래 설치하고 실행하게 하는 것을 말한다. APT를 포함해 일반적인 사이버 공격에 모두 쓰인다.
악성코드를 활용한 공격에서 익스플로잇은 알파요, 오메가다. 익스플로잇을 제대로 만드느냐에 따라 공격의 성패가 결정된다.
APT 공격의 경우 익스플로잇에 의해 실행된 악성코드는 사용자 시스템에서 챙긴 정보를 해커가 운영하는 C&C 서버에 전달하게 된다. 악성코드가 단순 로봇이면, 익스플로잇은 로봇을 마음대로 다루는 배후조종자인 셈이다.
익스플로잇은 악성코드처럼 실행파일(.exe) 형태가 아니라 소스코드 몇줄로 이뤄진 스크립트로 이뤄진다.
유포 경로는 웹사이트, 이메일 링크 등 다양하다. 공격자는 사용자가 쓰는 브라우저나 운영체제(OS) 취약점을 이용해 익스플로잇을 만든 뒤 웹사이트나 이메일 등을 통해 유포한다. 누군가 해당 웹사이트에 접속하거나 이메일이 걸린 링크를 누를 경우 익스플로잇이 당사자 몰래 유입된다. 감염된 이는 익스플로잇 존재 여부를 파악하기 어렵다. 공격자는 익스플로잇을 퍼뜨리기 위해 사회공학적인 방법을 활용할 때도 있다.
특정 시스템에 들어간 익스플로잇은 시스템을 공격할 수 있는 악성코드를 불러들여 설치하고 실행시킨다. 패치가 안된 취약점을 노린 악성코드인 만큼, 감염된 시스템은 공격자에 의해 유린당할 가능성이 높다. 백신 등 기존 보안 제품으로도 막기 어렵다.
APT 대응 솔루션 업체들은 이같은 상황에서 해결책을 제시한다고 강조한다. 이들 회사가 제공하는 보안 솔루션은 유입되는 실행 파일을 샌드박스로 불리는 별도 공간에 격리한 뒤 돌려보고 나서 악성코드 여부를 판단한다.
그러나 요즘 나오는 익스플로잇은 악성코드를 암호화, 난독화시키는 수준에 이르렀다. 실행파일로 된 악성코드를 실행 파일이 아닌 것처럼 위장시키는 것도 가능해졌다. 이렇게 되면 APT 대응 솔루션도 한계가 있을 수 있다. APT 대응 솔루션을 도입할 때, 위장된 것도 커버가 가능한지 신중하게 따져보는 것이 좋다는게 김현준 상무 설명이다.
APT는 사용자 몰래 이뤄진다는 점에서 대단히 위험한 공격이다. 사용자는 공격을 당했는지 여부를 파악하기 힘들다. 공격 당하고 나서 200일이 넘어서야 알게 되는 경우가 대부분이다. 그것도 다른데서 알려줘서 알거나, 공격을 받았는지도 모른채 그냥 넘어가는 사례도 수두룩하단다.
APT는 분산서비스거부(DDos) 공격에 비해 사례가 빈도수는 적다. 파이어아이 보고서에 따르면 2013년 3만9천500건 정도의 보안 위협이 집계됐는데, 이중 APT와 연결된 사례는 약 4천건이었다. 전체의 10% 수준이다.
관련기사
- 시스코, '프로파일링' 기반 APT 대응 솔루션 대공세2014.08.31
- 파이어아이, 이메일 보안에도 APT 대응 기술 투입2014.08.31
- APT 공격 대응 솔루션, 탐지넘어 치료 기능도 갖춰2014.08.31
- 시만텍발 APT 보안 동맹 뜬다2014.08.31
APT 비중이 적은건 공격의 진입장벽이 높기 때문이다. 알려지지 않은 취약점을 겨냥한 익스플로잇을 만드는 일은 해커 세계에서도 고난도 테크닉을 요구하는 일이다. 기술도 기술이지만 비용 또한 적지 않게 들어간다.
그런만큼 탐지가 힘든 익스플로잇은 개인보다는 주로 여러명으로 이뤄진 조직들에 의해 개발되는 경우가 많다고 한다. 또 괜찮은 익스플로잇은 지하 시장에서 100만달러에도 팔리는 것으로 전해진다.
