관련 통계자료 다운로드 지능적 지속위협의 일종인 오퍼레이션 오로라 공격 가상도
최근 ‘APT’에 관심이 높아지고 있다. 부동산 시장 침체기에 웬 아파트. 의아해질 수 있다. 하지만 APT는 아파트 약자가 아니라 ‘지능적 지속위협(APT: Advanced Persistent Threat)’의 약자도 된다.
3500만명이라는 초대형 개인정보 유출사고를 일으킨 네이트·싸이월드 사고도 그 원인이 APT라고 밝혀지며 APT가 이슈 키워드로 떠올랐다. 네이트·싸이월드 건으로 APT가 유명세를 탔지만 이미 스턱스넷(Stuxnet)으로 APT는 우리에게 익숙하다. 이란 원전을 공격할 목적으로 제작, 투입됐던 스턱스넷은 대표적인 APT 공격이다.
18세기에서 19세기 영국에서는 자동화된 생산기술이 가져온 산업기술의 발전을 ‘산업혁명’이라 지칭했다. 금전적 이윤을 목표로 자동화된 대량 생산방식으로 만들어지는 APT인 ‘사이버블랙마켓’도 정보보호 분야에 있어 일종의 산업혁명이라 불릴만하다.
APT는 최근 새롭게 정의된 단어와 의미가 아니다. 그 기원과 최초 사용은 미국 공군 사령부로 연결된다. 미 공군은 2006년 무렵 미국 국방부 및 정부 기관과의 원활한 커뮤니케이션을 위해 확인된 특정 보안위협을 지칭하는 의미로 APT를 사용했다. 이후 정보보호 분야가 민간부분으로 넘어오며 APT는 다양한 IT 기술과 방식들을 이용해 조직적으로 경제적이거나 정치적인 목적을 위해 다양한 보안 위협들을 생산해 지속적으로 특정 대상에 가하는 일련의 공격 행위를 말하게 됐다.
APT는 한 가지 기술로만 제한할 수 없다. 예를 들어 APT 형태 위협을 생산하기 위해 마이크로소프트의 윈도 운용체계를 분석해 새로운 제로데이 공격을 만들어 악용할 수 있다. 특정 조직 내부 시스템 장악을 위해 기존 보안 소프트웨어에서 탐지를 회피할 수 있는 신규 악성코드를 만드는 것 등을 모두 들 수 있다. 결국 경제적이거나 정치적인 목적을 위해 다양한 보안위협을 생산하고 지속적으로 특정 대상에게 가하는 행위는 모두 APT라 불릴 수 있다.
안철수연구소측 설명에 의하면 “보안 위협 생산에 필요한 금전, 인력 투자는 최소화하고 생산하는 보안위협을 최대한 달성하기 위해 다양한 보안위협들이 웹 사이트를 통해 대규모 유포되고 있다”며 “정부기관, 사회기간 산업시설, 정보통신 기업, 제조업종, 금융업종 등이 APT에 위협이 되는 조직들이다”고 말했다.
APT로 인한 사고는 알려지지 않았지만 셀 수 없이 많다. 스턱스넷부터 글로벌 에너지 업체를 대상으로 한 나이트드래곤 보안위협, RSA사의 OTP 기술 유출사고, 네이트·싸이월드 개인정보 유출 사고 등 다양하다. 전문가들은 “한두 가지 보안 솔루션이나 백신 등으로는 다계층적인 APT를 막을 수 없다”고 말한다. 그들은 “최근 사이버테러 공격은 특정 기관·기업을 겨냥한 지능적 지속위협(APT)의 성격을 띄고 있어 더욱 위험적이기 때문에 보안교육부터, 보안 관제, 위협분석, 보안인식 교육, 지속적인 보안 업데이트, 데이터암호화, 침해사고 대응 프로세스 수립 등 다계층적인 방어 능력을 갖춰야한다”고 지적했다.
장윤정기자 linda@etnews.com
