SK커뮤니케이션즈의 포털 네이트와 싸이월드 가입자 3500만명의 정보가 유출된 가운데 그 원인이 ‘지능적 지속위협(APT)’이라는 쪽으로 관련 전문가들의 의견이 모이고 있다.
SK커뮤니케이션즈 내부에서 악성코드가 발견됐고 악성코드가 악의적인 목적을 위해 활동하도록 심어진 것이라고 정부 및 보안업체 관계자들에 의해 속속 확인되고 있기 때문이다.
APT(Advanced Persistent Threat)란 다양한 IT 기술과 방식들을 이용해 조직적으로 경제적이거나 정치적인 목적을 위해 다양한 보안 위협들을 생산해 지속적으로 특정 대상에 가하는 일련의 공격 행위를 말한다. 즉, APT란 특정 기업이나 조직 네트워크에 침투해 활동 거점을 마련한 뒤 정보를 외부로 빼돌리는 형태의 공격들을 총칭하는 말이다. 공격 방법은 대략 세 가지 정도의 시나리오가 있다. 첫째 내부자에게 악성코드가 포함된 이메일을 오랜 기간 동안 꾸준히 발송해 한번이라도 클릭되길 기다리는 형태, 두 번째는 스턱스넷(Stuxnet)과 같이 악성코드가 담긴 이동식디스크(USB) 등으로 전파하는 형태, 세 번째는 악성코드에 감염된 P2P 사이트에 접속, 무차별로 살포하는 악성코드에 감염되는 형태 등이다.
국내의 경우 올해 초 발생한 3·3 DDoS 공격 이후 특정대상을 노리는 공격이 증가하고 있는 추세다. 안철수연구소의 조사에 의하면 기업 침해 사고를 분석한 결과 1~2개월 혹은 그전부터 공격시도가 있었던 경우가 대부분이었다.
조시행 안철수연구소 상무는 “많은 기업들이 안티바이러스만 설치하면 APT에 대응할 수 있을 거라 생각하지만 일반적으로 시그니처 기반의 안티바이러스로는 한계가 있을 수밖에 없다”며 “기존의 개별 솔루션으로도 완벽히 방어하기가 쉽지 않다”고 말했다. 조 상무는 “APT를 효과적으로 방어하기 위해서는 기업 내 모든 파일에 대한 가시성을 확보하고 파일을 실시간으로 행위분석을 해야 APT와 같이 고도화된 공격에 대응할 수 있다”고 덧붙였다.
현실적으로 APT 위협을 최소화할 수 있는 방안은 악성코드 유입을 줄이기 위한 보인인식 교육 수행부터 위협 분석 수행, 보안관제 등을 통한 예방전락 수립, 데이터 유출 예방, 위협 탐지와 대응 등 전 방위적인 보안체계를 수립해야 한다는 설명이다.
장윤정기자 linda@etnews.com