몇 년 전 개봉된 영화 <숨바꼭질>은 주인이 집을 비울 때마다 몰래 들어와 집안에 있던 물건을 훔치다가 급기야 집을 차지하기 위해 살인까지 저지르는 범죄자의 모습을 그린 영화다. 대부분의 사람들이 자신의 집을 가장 안전하고 사적인 공간이라 여기고 있는 만큼, 타인의 집을 자기집인양 은밀히 드나들며 범죄를 저지르는 악당의 모습은 매우 충격적이었다.

그리고 영화에서나 나올법한 이 오싹한 일은 사실상 온라인 상에서 빈번히 발생하고 있다. 장기간의 공격을 통해 더 많은 정보를 빼내고 더 많은 금전적 손실을 입히며 더 많은 해를 가하는 방향으로 진화하고 있는 ‘APT(Advanced Persistent Threats, 지능형 지속 위협)’ 공격이 바로 그것이다.

영화 속 악당이 특정한 집을 표적으로 삼고 장기간 집 주인의 행동 양상을 관찰했듯이, APT 공격은 불특정 다수를 대상으로 일회성 공격을 감행했던 기존의 보안 위협과는 사뭇 다른 양상을 보이고 있다.

▲ 박영주 보안 컨설턴트

APT 공격은 특히 공격 표적, 빈도 및 기법 면에서 기존의 무차별적 공격과 상반되는 모습을 보인다. 공격자들은 국가 안보 및 기업 경쟁력과 직결되는 특정 시스템 및 사용자를 표적으로 삼아 오랜 시간 정찰을 하고, 사람의 심리를 노리거나 알려지지 않은 IT 취약점을 악용하는 지능적인 공격 기법을 병행하여 침투를 시도한다. 공신력 높은 공공기관 혹은 협력사의 메일 계정인양 가장한 악성 메일을 보내거나, 전산망의 취약점을 뚫고 들어가 PC의 통제권을 탈취하는 식이다.

가장 무서운 점은 침투에 성공한 후에도 원하는 목표를 달성할 때까지 흔적을 숨기며 기다린다는 사실이다. 단순한 금전적 이익을 떠나 원자력 발전소, 공항, 철도 등 주요 사회기반 시설을 파괴하거나 무기 발사 암호, 특허 기술 등 핵심 국가 정보를 탈취하는 데 그 목적이 있기 때문이다.

최근 발생한 대기업 계열사 해킹 사건에서 확인했듯이, 공격자는 2014년 7월부터 해킹을 시작해 전산망 통제권과 4만여건의 문서를 탈취하며 전산망 마비 공격을 준비해온 것으로 드러나 충격을 자아낸바 있다.

■ APT의 유입 경로 이메일, 앱...기업 방어전략 진화해야

APT 공격이 시작되는 대표 유입 경로로는 단연 이메일이 꼽힌다. 업무를 비롯한 상당수의 커뮤니케이션이 이메일을 통해 이루어지고 있는 만큼, 대부분의 사람들이 이메일에 첨부된 파일이나 URL을 의심 없이 열어 볼 확률이 높기 때문이다. 2014년 말 발생한 한수원 내부 문건 유출사고가 대표적인 사례다. 공격자는 임직원들이 의심하지 않도록, 퇴직자와 협력업체의 이메일 계정으로 위장한 악성 메일을 보내 잠입에 성공했다.

또한 네트워크, 소프트웨어, 애플리케이션 등 다양한 IT 시스템에 존재하는 취약점 역시 APT 공격에 악용될 수 있다. 발표된 취약점에 대한 패치를 하지 않았거나, 보안 패치가 발표되지도 않은 취약점을 이용해 공격을 감행하는 형태다.

특히 대응책이 마련되지 않은 취약점을 노리는 제로데이 공격은 일주일에 하나씩 발견될 정도로 점차 늘어나고 있는 추세다. 시만텍 조사에 따르면, 지난 해 발견된 제로데이 취약점은 전년 대비 2배 이상 증가하며 사상 최대인 54개를 기록했다.

이러한 공격 방식의 변화는 기업의 방어 전략 역시 진화해야 한다는 것을 의미한다. 공격자들이 침입 경로를 수시로 바꾸고, 새로운 회피 기술을 사용하며, 기업의 취약점을 먼저 간파하는 표적 맞춤형 공격을 감행하고 있는 만큼, 한 곳만 보는 개별 보안 솔루션 위주의 대응 방식은 공격을 막는데 한계가 있기 때문이다.

따라서 방어자는 엔드포인트, 네트워크, 서버 단에 걸친 모든 위협을 탐지, 차단하여 침투 가능성을 최대한 낮추고 잠재적 사고에 대응할 수 있는 통합적인 보안 체계를 마련할 필요가 있다.

이를 위해서는 우선적으로 공격자의 침투를 막고, 침투에 성공한 공격자의 진입을 빠르게 막아낼 수 있는 다층적인 방어 전략 마련이 요구된다. 백신, 방화벽, 이메일 보안 솔루션을 엔드포인트 단에 설치하여 알려진 위협을 차단하고, 가상환경에서 악성코드를 분석하여 알려지지 않은 위협을 찾아내며, 2-Factor/2-channel 인증 시스템을 도입해 관리자 계정 탈취로 인한 서버 해킹 사고를 방지하는 식이다. 즉, 공격자의 침투를 막고, 침투에 성공한 공격자의 진입을 단계별로 막아낼 수 있는 다층적인 방어 전략 마련이 요구된다.

더불어, 기업 곳곳에서 수집한 모든 로그 및 네트워크 데이터를 최신 외부 위협 정보와 연결 지어 분석하는 통합보안관리(SIEM) 솔루션 역시 APT 공격 방어에 있어 핵심적인 역할을 수행한다.

APT 공격을 감행하는 공격자들이 기업 내부 시스템들을 교묘히 옮겨 다니며 흔적을 숨기고 있는 만큼, 악성코드를 발견하는 것에서 더 나아가, 이 악성코드가 어떤 데이터를 송수신하고 있는지, 이 악성코드에 감염된 다른 시스템은 없는지 등 해당 행위의 중요성을 판별해 공격의 연결고리를 끊는 능동적인 보안 대책을 수립하기 위해서다.

또 공격의 표적이 되는 임직원들의 보안 인식 수준을 점검하고 이를 높일 수 있는 구체적인 방법론을 마련하는 것 역시 중요하다. 대부분의 임직원들이 APT 공격의 위험성은 인지하고 있으면서도 공격 수법에 대해 인지하지 못해 공격의 교두보로 이용당하는 경우가 빈번히 발생하고 있다. 그렇기 때문에 주기적인 보안 교육 및 실제 공격과 유사한 형태의 모의훈련을 통해, 임직원의 보안 수준을 정확하게 파악하고 이를 높이기 위해 지속적으로 힘을 기울일 필요가 있다.

나의 집을 노리는 공격자들을 원천 차단하기 위한 묘안이란 존재하지 않는다. 공격 수법이 한층 교묘해지고 다양해지고 있는 만큼, 이에 맞서기 위한 방어 전략 역시 지속적으로 변화하고 발전해야 할 것으로 보인다. 엔드포인트, 네트워크, 서버 단에 걸친 다층적인 보안 솔루션 도입, 기업 전반에 걸쳐 가시성을 확보할 수 있는 통합적인 보안 체계 구축, 그리고 임직원의 높은 보안 인식이 필수적으로 요구되는 이유다.

키워드

#APT #보안
저작권자 © 디지털투데이 (DigitalToday) 무단전재 및 재배포 금지