APT공격 대응의 기본은 기업이나 기관 내 조직원의 보안인식 향상이다. 위협이 발생하는 빈도를 최소화해야 한다. 보안위협 출발점은 내부 임직원이기 때문이다.
대부분의 APT공격은 이메일을 이용해 악성코드를 전파하는 형태로 이뤄진다. 때문에 기업은 악성코드 유입을 최소화할 수 있도록 임직원 보안인식 교육을 강화해야 한다. 조직 내 시스템이 악성코드가 노리는 취약점에 노출되지 않도록 보안 업데이트를 항상 최신 상태로 유지해야 한다.
정보보호와 관련된 규제는 CEO부터 말단 직원까지 단 한 명의 예외 없이 준수돼야 한다. 공격자는 한 사람의 안일한 태도를 집중 공략하므로 조직은 사전에 위험예방 전략을 수립해 보안 관제를 수행해야 한다. 현재 실행 중인 보안전략이 최신 공격 동향에 유효한지도 수시로 점검한다.
조직 내 모든 PC 운용체계(OS)에 존재하는 사용하지 않는 사용자 계정을 비활성화하고 삭제한다. 터미널 서버에 공용 계정을 삭제하고 저장된 계정 정보와 암호도 모두 지운다. 새로운 보안 위협에 신속히 대응하기 위해 ‘시큐리티 인텔리전스’를 확보한다.
APT공격을 방화벽이나 바이러스백신, URL 필터링 등 기존 보안 솔루션으로 대응하는 것은 불가능하다. 알려지지 않은 악성코드를 행위 기반으로 검사해 차단하는 솔루션 등을 도입하면 도움이 된다. APT 대응 솔루션은 기업 내로 들어오는 트래픽을 살펴 의심스런 트래픽을 분류한 후 샌드박스로 보낸다. 이곳에서 이메일에 첨부된 파일에 악성행위를 하는 코드가 숨겨져 있는지 여부를 판단한다. 최근에는 공격자의 움직임을 실시간으로 볼 수 있는 ‘블랙박스’와 같은 형태 솔루션도 등장했다.
김인순기자 insoon@etnews.com