안철수연구소는 19일 언론에 배포한 보도자료를 통해 최근 가장 위협적인 보안 이슈인 APT(Advanced Persistent Threat; 지능형 타깃 지속 공격)의 현황과 대응 방안을 발표했다.
자료에 따르면, APT는 ▲다양한 IT 기술과 방식을 이용해 ▲조직적으로 ▲경제적이거나 사회적인 목적을 위해 ▲다양한 보안 위협을 이용해 ▲특정 대상을 겨냥해 ▲지속적으로 공격한다는 것이 특징이다. 또한 APT의 주된 타깃은 정부기관과 사회 기간 산업 시설, 정보통신 기업과 제조 기업과 금융기관 등이다. 이는 APT 공격자의 목적이 사회적 시위 또는 경제적 이익 확보임을 시사한다.
APT 공격의 대표적 사례로는 스턱스넷(Stuxnet)과 오퍼레이션 오로라(Operation Aurora), 나이트 드래곤(Night Dragon), EMC/RSA 공격이 꼽힌다. 국내의 경우 올 초 발생한 3.4 디도스 공격 이후 특정 대상을 노리는 공격이 증가하는 추세이다.
APT 공격자는 기초 정보 수집, 악성코드 침투, 기밀 정보 유출의 과정을 거친다. 즉, SNS 등 다양한 방법으로 공격 대상 조직에 대한 정보를 수집하고, 해당 조직 임직원에게 악성코드 이메일을 보내는 등 지속적인 타깃 공격을 한다. 이후 공격 목표인 조직 내부에서 사용하는 애플리케이션(응용 소프트웨어)의 취약점을 악용해 정보를 은밀하게 빼낸다. 이 같은 APT 공격에 대응하려면 여러 방면에서 전방위 대응이 필요하다.
기초 정보 수집에 대응하려면 ▲정책적으로 조직 내부 정보나 구성원의 신원 정보를 통제하고 ▲각종 보안 위협 징후에 대한 내외부 모니터링 및 로그 분석이 지속적으로 이루어져야 한다. 또한 악성코드 침투에 대응하려면 ▲구성원이 P2P, 웹하드, SW 자동 업데이트 사이트 접속 시 악성코드에 감염되지 않도록 주기적으로 보안 교육을 하고 ▲PC(엔드포인트)에 설치된 보안 소프트웨어를 주기적으로 관리 및 감독해야 한다. 기업 내부에서 검토 및 인증한 애플리케이션을 대상으로 화이트리스트(White List)를 작성한다. 이후 화이트리스트 이외 다른 애플리케이션이 설치/실행되지 않도록 차단한다. 또한 확인/인가되지 않은 계정이 중요 시스템에 접근하지 않도록 권한을 최소화/차단한다. 아울러 중요 시스템이 있는 네트워크 대역과 일반 임직원이 사용하는 네트워크 대역을 분리해 접근을 원천 차단한다. 아울러 기밀 정보 유출에 대응하려면 ▲PC에 설치된 운영체제 및 애플리케이션의 취약점 패치 및 관리를 주기적으로 하고 ▲접근 통제로 정보 유출을 차단하고 ▲데이터 암호화로 기밀 정보가 유출되어도 악용되지 않게 한다.
이와 함께 재발 방지 차원에서는 어떤 경로로 기업 내부 네트워크로 침입했고 어떤 시스템과 데이터에 접근을 시도했는지 파악하는 것이 필요하다. 최초 네트워크 내부의 비정상 패킷을 검출하고, 비정상 접근이나 데이터 전송이 발생한 시스템을 파악한 후 디지털 포렌식(Digital Forensic) 프로세스에 따라 자세한 분석을 한다.
한편, 공격을 당하는 기관/기업뿐 아니라 악성코드 유포 경로로 악용되는 SW 업데이트 서버의 보안 관리도 중요하다. SW 제공 업체는 업데이트 서버를 설계 단계부터 보안을 철저히 고려해야 하며, 주기적으로 취약점을 점검하고 24시간 365일 모니터링하는 등 철저히 대비해야 한다.
안철수연구소는 이처럼 고도의 보안 위협 패러다임 변화에 따라 전방위 융합 보안 체계를 구성해 보안을 강화할 필요가 있다고 역설했다. 융합 보안 체계란 외부에서 들어오는 공격과 내부에서 유출되는 것을 동시에 감시 및 대응하는 종합적인 대책을 말한다.
trend@etnews.com