[정보보호]집중분석-`APT 공격`

주요 방송사와 금융사의 전산망을 한꺼번에 마비시킨 3·20 사이버 테러는 나라 전체에 일대 혼란을 줬다. 이번 사이버테러 원인으로 지목되는 `지능형 지속위협(APT:Advanced Persistent Threat)`은 국가 중요시설과 기관은 물론이고 특허나 설계도면 등 지식재산을 노리는 고도의 표적공격 기법이다.

지능형 지속위협(APT) 공격 개념도 <자료:시만텍코리아>
지능형 지속위협(APT) 공격 개념도 <자료:시만텍코리아>

◇APT 공격, 은밀한 침투가 특징

APT 공격은 제로데이 취약점 등을 통해 특정 기업이나 조직 네트워크에 침투한다. 일단 활동 거점이 마련되면 기밀정보를 수집해 지속적으로 빼돌리는, 보다 은밀한 형태의 표적 공격 기법이다. 공격 성공률을 높이고 보안탐지 기법을 회피하기 위한 다양한 매커니즘을 복합적으로 이용하기 때문에 훨씬 지능적이다. 피해를 당한 기업도 보안 사고가 터지기 전까지는 APT 공격에 당했다는 사실 조차 모르는 경우가 대부분이다. 예컨대 EMC RSA의 경우, 2011년 3월 공격자가 표적으로 삼은 직원들의 개인 정보를 SNS를 이용해 수집한 후 `2011년 채용계획`이라는 이름의 첨부파일이 담긴 이메일을 보안권한을 가진 내부직원에게 전송했다. 이 첨부파일에는 시스템관리자 계정을 탈취해 시스템에 접근할 수 있는 악성코드가 심어져 있었다. 이 때문에 시스템 감염이 이뤄질 수밖에 없었다.

이란에서 나탄즈 핵시설을 공격해 원심분리기의 부분 가동을 중단시킨 스턱스넥(Stuxnet)을 비롯 2011년 `듀큐(Duqu)` 및 전세계 화학·방산업체를 공격한 `니트로(Nitro)`, 2012년 6월 이란과 중동지역에서 국가 기간시설에 침투해 중요 정보를 빼돌려온 악성코드 `플레이머(W32.Flamer)` 등도 국가 핵심시설 및 기관에 막대한 피해를 입혔다.

◇정보 중심 보안 전략 짜라

APT를 포함한 고도의 표적 공격을 막기 위해서는 기존 보안 인프라가 갖는 한계를 넘어서야 한다고 전문가들은 주문한다. 정보 주변을 둘러싼 시스템이 아닌 정보 자체를 보호하는 정보 중심의 보안 전략을 고민해야 한다는 지적이다. 보호해야 할 중요 정보가 어디에 저장돼 있고, 누가 접근 가능한지, 어떻게 보호되고 있는지를 파악해 `디지털 정보 지도`를 작성하는 게 핵심이다. 정보 인프라가 아닌 정보 자체에 집중해 중요 정보를 검색, 모니터링하고 기밀보호 정책을 강제해야 정보 유출을 효과적으로 방지할 수 있다고 전문가들은 조언한다.

이와 함께 다양한 악의적 공격과 활동을 효과적으로 차단하기 위해 기업 내부 직원이 인터넷을 사용할 때 웹에서 악성코드 검사를 수행하도록 강제하는 `사전 방역`과 네트워크 상의 모든 트래픽을 검사해 일반적인 봇트래픽 패턴을 탐지하고 활성 봇넷을 차단해야 한다. 감염된 PC를 즉각 격리하는 `사후 차단`의 역할도 중요하다.

조애리 시만텍코리아 부장은 “APT에 대응하기 위해 등장한 것이 평판 기반의 보안탐지 기술”이라며 “이와 함께 정기 교육도 중요하다”고 설명했다.

평판 기반의 보안 접근법은 세계 사용자들의 `대중의 지혜`를 모아 프로그램마다 평판을 전산화한다. 극소수의 사람들이 가지고 있는 프로그램을 다운로드하고자 할 때는 이를 제지하고 최상의 선택을 권고한다. 그러한 극소수 프로그램은 매우 전문적 소프트웨어이거나 임의로 생성된 바이러스일 가능성이 높기 때문이다

김원석기자 stone201@etnews.com