6일 서울 르네상스 호텔에서 열린 '시만텍 APT 공격 시뮬레이션 대회'에 참가한 참가자들은 대부분 국내 기업 보안담당자들이다. 참가자들이 각자 준비한 개인 노트북으로 대회를 위해 네트워크 설정을 진행하고 있다

[아이티투데이 성상훈 기자] 파이어아이의 'NX900', 인포섹의 '센티넬', 웹센스의 '트리론'. 최근 한달 사이 국내에 출시된 APT 대응 솔루션이다. 여기에 조만간 안랩의 'MDS 엔터프라이즈'가 가세할 예정이다.

최근 국내 보안업계의 뜨거운 화두는 'APT(지능형지속공격:Advanced Persistent Threat)'다. APT 공격은  한번 타겟을 정하면 정보탈취에 성공할때까지 지속적으로 공격이 이어진다는 점에서 기업 보안 담당자는 늘 APT 공격에 대한 경계를 늦출수가 없다. 그런데, 이 보안담당자들이 APT 공격자(해커) 입장에 선다면 어떨까?

공격자의 입장에서 한번 더 생각할 수 있다면 보안계획을 수립하는데 어떤 식으로든 도움될 것이다.

6일 열린 'APT 공격 시뮬레이션 대회'는 이같은 취지로 마련됐다. 'APT 공격 시뮬레이션 대회'는 전세계 22개 지역에서 열리지만 우리나라에서는 시만텍코리아가 이번에 처음 개최했다.

가장 큰 목적은 '해커들의 공격을 위한 시나리오를 직접 체험'하는 것이다. 그래서 직접 참가해봤다.

오전 11시30분. 대회 시작까지 2시간 남았음에도 일찍부터 모여든 참가자들이 각자 준비한 노트북을 꺼내들며 네트워크를 설정하기에 분주하다. 기자도 미리 준비한 울트라북을 꺼내 세팅을 시작했다.

기자도 VPN(Virtual Private Network)으로 로그인해서 단계별로 나눠진 문제를 풀었지만 난이도가 만만치 않았다. 

공격을 위한 시나리오는 이렇다.

"지난 6년간 이용한 커피숍 'Koffie Cafe'를 통해 늘 만족스러운 서비스를 받았지만 경영자가 바뀌면서 서비스는 형편없어졌다. 무료였던 와이파이는 유료로 바뀌고 즐겨마시는 더블 에스프레소 가격도 인상됐다. 이 커피숍을 예전처럼 바꾸기 위해 해킹을 할 것이다. 해킹을 통해 평생 공짜 커피를 마실수 있는 쿠폰도 만들겠다. 이를 위해 커피숍에 대한 '조사'를 진행하고 프로파일링을 위한 정보를 수집한다. 이후 홈페이를 통해 네트워크 '침투'를 하고 자료를 '탐색'한 뒤 신용카드 번호, 관리자 패스워드 등 유용한 정보를 '수집'한 다음 최종 목적인 중요데이터를 '탈취'하는 것이다."

이 시나리오는 모든 참가자에게 동일하게 적용됐고 시만텍이 준비한 특별한 네트워크 환경 안에서 앞서 언급한 각 단계에 해당하는 퀴즈를 푼다.

기자도 노트북에 VPN 애플리케이션을 설치하고 사전에 신청한 아이디와 패스워드를 입력한 후 대회 시작을 기다렸다. 평소 쉽게 접할 수 없는 기회이기에 두근거리기까지 했다.

시만텍코리아의 도영창 이사와 윤광택 이사가 대회 안내와 규정을 설명하지만 여전히 대회를 위한 설정을 하기 바쁜 참가자들이 다수 눈에 띈다.

오후 1:30분. 대회 시작 알림과 함께 레벨 1단계의 문제들이 화면에 들어왔다. 문제의 수는 총 10개.

'APT 공격 시뮬레이션 대회' 레벨 1단계는 공격 표적의 홈페이지 구축에 사용된 소프트웨어에 대한 문제다. 구체적인 내용은 유출 불가 사유로 삭제 처리됐다

첫번째 문제는 'Koffie Cafe' 홈페이지 구조에 관한 문제로 출발했다. 개인 또는 단체로 대회에 참가한 사람들이 백트랙(Back Track), 칼리(Kali) 등 각자 준비한 툴을 사용해 정보 수집에 나섰다. 영락없는 해커의 모습이다. 

문제 구성은 모두 영어로, 보안지식 외에도 '언어능력'을 따로 필요로 한다는 점에서 일부 집중력을 저하시키기도 했다.

레벨1 첫번째 문제 답안 유추 과정. 윤리적 해킹 툴을 사용하지 않아도 공격 표적 홈페이지의 스크립트 분석을 열어보니 표적 홈페이지의 구축 소프트웨어에 대한 정보를 알 수 있었다. 이는 홈페이지의 보안 취약점을 분석하기 위한 출발점이 된다 

총 참가자는 약 80여명. 국내 내노라 하는 대기업들의 보안담당자도 상당수 참가했다. 각 문제는 난이도 별로 점수가 다르다. 적게는 300점, 많게는 1000점이 주어지며 문제에 대한 답을 맞추면 '깃발 획득'이라는 문구를 확인할 수 있다.

물론 문제마다 힌트도 3개씩 있다. 그러나 힌트를 쓰게 되면 점수가 차감되기에 무턱대고 쓸 수도 없었다.

이 와중에 윤광택 이사가 "힌트를 써서 문제를 '많이' 맞추는 것보다 최대한 힌트를 쓰지 않고 '점수'를 많이 받는 것이 최선"이라며 조언을 건넸다. 다음 레벨로 가는 것을 우선시 하기 보다 문제를 하나라도 더 맞추는 것이 낫다는 것.

이는 해킹 공격자 입장에서 하나라도 더 많은 '정보'를 수집하는 것과 일맥상통한다. 표적에 대한 정보가 많을수록 '침투'하기가 수월하기 때문이다.

오후 4시가 넘어가자 참가자들의 점수가 벌어지기 시작했다. 대회 시작후 2시간이 넘어서야 참가하는 지각생(?)도 있었다.

대회 종료 1시간 남겨놓고 점수차가 뚜렷하게 벌어지기 시작했다

뒤늦게 참가한 다우데이터의 이상규 과장은 "오전에 중요한 사내 업무가 있어서 참가가 늦었지만 최선을 다해볼 생각"이라며 나름의 각오를 다진다. 이 과장은 해킹 툴의 일종인 '백트랙'을 이번 대회를 통해 처음 접하게 됐다고 한다.

이 과장 외에도 많은 참가자들이 처음으로 '해커' 입장에 서서 긴장하는 모습이다.

오후 5시 10분. 대회 종료를 알리는 카운트가 시작되자 아껴뒀던 답을 적으며 순간적인 '깃발 획득'으로 점수를 대량 올리는 참가자도 다수 보였다.

대회가 끝나고 점수 집계가 되는 동안 시만텍코리아 남인우 상무가 참가자들에 대한 격려와 APT 공격 동향에 대한 설명을 곁들였다.

APT 공격 동향에 대해 설명하고 있는 시만텍코리아 남인우 상무

남 상무는 "지난 한해동안 집계된 APT 공격 사례를 보면 제조업 분야가 24%로 가장 많았고, 부서별로는 연구개발 27%, 영업담당이 24%로 많았다"며 "특히 전체 31% 이상이 직원 수 250명 이하의 중소규모 기업"이라고 설명했다. APT 공격이 대기업에 국한되지 않는 다는 것이다.

이는 소규모 기업도 APT 공격으로 부터 자유로울 수 없어 대응이 필요하다는 의미다.

또한 남 상무는 "대회가 끝나고 집계된 평균 점수는 해외지역 대비 상당히 높은 수준"이라며 일반 기업 보안담당자들의 보안 지식 수준이 높다고 평가했다.

이날 1위를 차지한 윤준수씨 팀도 "다들 어렵다고 하지만 우리는 평소 회사에서 수행하는 모의해킹과 비슷한 유형으로 문제가 출제되어 어렵지 않게 문제해결을 할 수 있었다"며 "해킹툴 준비를 좀 더 꼼꼼하게 해왔다면 더 높은 점수를 얻을 수 있었는데 아쉽다"며 자신감 넘치는 모습을 보였다.

6일 'APT 공격 시뮬레이션 대회' 1위를 차지한 윤준수 팀. (왼쪽부터) 김무성, 윤준수, 신민일 씨. 모두 한 회사에서 네트워크 보안담당 업무를 맡고 있다

대회에 참가한 참가자들을 만나보니 대부분 재미있었다는 반응이다.

사내 보안을 이유로 익명을 요구한 한 참가자는 "득점은 많이 못했지만 공격을 위한 '시나리오'를 만들고 이를 접할 수 있었다는 점이 매우 신선했다"며 "다른 기업의 보안담당자들과 교류할 수 있었다는 점도 매력적이다. 앞으로 기회가 되면 또 참가할 예정"이라고 소감을 밝혔다. 

저작권자 © 디지털투데이 (DigitalToday) 무단전재 및 재배포 금지