몇 년 전부터 보안 업계 최대 화두는 지능형지속위협(APT, Advanced persistent Treats)에 대한 대응방안이라고 해도 과언이 아닐 것이다. 지능형지속위협은 특정 목적을 달성하기 위해 수단과 방법을 가리지 않고 지속적으로 공격하는 위협을 말한다.

지능형 지속위협 공격은 점차 고도화되고 있는데, 최근 글로벌 보안업체인 파이어아이에 따르면 지난 해 제어시스템을 대상으로 기존의 공격 방식과는 다른 새로운 공격기술이 포착되었다.

이페머럴 하이드라(Ephemeral Hydra)로 불리는 이 공격은 IE의 취약점을 이용한 공격으로 미리 공격 당한 특정 웹사이트(국가/국제 보안정책 관련 사이트)를 통해 이 사이트를 방문한 이용자 단말에 Zero-day 취약점 공격을 가한다.

이 공격이 기존의 지능형 공격과 다른 점은 보통 이런 공격에서 발견되는 IFrame이나 Shellcode payload를 외부로부터 다운로드 시키는 redirection이 없었다는 점이다. 뿐만 아니라 취약점 공격 성공 후, 악성 파일을 디스크에 쓰지 않고(Diskless) 메모리에서 정상적인 프로그램에 붙어 공격코드가 실행이 되는 방식이었다.

이러한 방식은 전통적인 방어 방식인 ‘포렌식 방식을 사용하는 네트워크 기반의 방어 시스템’과 백신, HIPS 등에서 감염된 단말을 식별하기 더욱 어렵게 만든다.

이 공격 이후 최근 미국 라스베이거스에서 열린 해킹 컨퍼런스 ‘블랙햇 2014’에서 새로운 지능형 공격 방식에 대한 소개와 논의가 심도 있게 진행되었다. 여기서 소개된 방식은 ‘Poweliks’라고 알려진 악성코드 감염 방식인데 캐나다 우체국과 UPS(국제 화물 운송 기업)에서 보낸 이메일로 위장한 뒤 악성 문서 파일을 첨부하여 공격 대상에게 전송한다. 해당 악성 문서 파일은 Microsoft Word의 취약점을 이용하여 악성코드를 이용자 단말에 감염시킨다.

이 과정에서도 전통적인 방식과는 조금 다른 공격 방식이 포착되었다. 해당 워드 문서를 열면 취약점이 나타나 쉘코드가 실행되는데, 기존의 지능형 공격에서 많이 사용된 파일 드랍 방식이 아닌 윈도우 레지스트리에 악성 스크립트를 생성하고 실행하는 방식을 사용했다.

이용자 시스템에 PowerShell이 설치 안되어 있는 경우, Microsoft로부터 PowerShell을 다운로드하여, 백그라운드로 설치한다.

보통 공격자는 지속적으로 감염된 PC를 점유하기를 원하는데, 전자에서는 in-memory 공격의 패턴을 보이고 있고, 후자의 경우 파일을 디스크에 쓰지 않거나 실행 시점을 바꾸는 등의 지능적인 공격방식을 채택하고 있다. 더욱이 이러한 공격기법이 들어간 상용 공격킷(A Kit)이 발견되고 있어 앞으로 지능화된 공격은 더 확산될 것으로 보인다.

앞서 언급한 바와 같은 지능형 공격은 디스크 기반의 포렌식 또는 파일 시그니처 기반 탐지, 파일 행위 분석 위주의 방어 시스템, HIPS 등 전통적 방식으로는 방어하기 어렵다. 특히 워드 프로그램이나 익스플로러 등 응용 프로그램의 취약점을 이용한 공격의 경우 안티 바이러스와 같은 사후 대응 방식으로는 완벽한 대응이 불가능하다.

최근 이러한 한계점을 극복하기 위해 업계에서는 새로운 대응 방안을 내놓고 있는데 지능형 공격의 핵심인 취약점을 방어하는 안티 익스플로잇(AE)을 비롯해 샌드 박싱(Sand Boxing), 가상 머신(Virtual machine) 등이 대표적인 예다.

김동우 소장 약력

(현)이글루시큐리티 선행기술연구소 소장(이사)
- 전 CSA Korea co-founder, 대외협력 이사
- 스마트 그리드 기기인증 컨설팅
- 금융거래 암호시스템 강화 가이드라인 자문
- KISA U-Health 보안 자문