[보안칼럼]APT 방어 솔루션, 올바른 접근 필요하다

국내외 주요 인프라를 겨냥한 지능형지속위협(APT) 공격이 연이어 발생 중이다. APT 대응 방안에 대한 관심이 보안업계 최대 화두로 떠올랐다. APT는 특정 목적을 이루기 위해 모든 수단과 방법을 동원해 지속적으로 공격하는 형태다. 예상하지 못했던 취약점을 파고들기 때문에 선제방어가 어렵다는 점에서 오늘날 조직이 반드시 대비해야할 위협으로 그 중요성을 더하고 있다.

하지만 이러한 시급성과 중요성에 비해 APT 방어 솔루션에 대한 잘못된 이해가 퍼지고 있는 것 같아 우려스럽다. 많은 보안 전문기업들이 APT 방어를 내세워 제품들을 출시하다보니 보안 담당자 입장에서는 솔루션 선정에 혼란을 격을 수밖에 없다. APT 방어에 대한 정확한 이해 없이 솔루션 도입 결정을 해버리면 투자의 목적과 결과가 불일치하는 현상을 초래할 수 있다.

가장 두드러진 현상은 APT 방어를 위해 악성코드 탐지, 차단, 치료를 강조하는 솔루션을 도입하는 것이다. APT는 익스플로잇 단계에서 콜백에 이르기까지 멀티플로우(다단계)로 진행되는 공격이다. 즉, 전체를 볼 수 없으면 방어가 불가능하다. 공격에 사용된 몇몇 악성코드만을 탐지하는 것으로는 동일한 공격의 재발을 막을 수 없다. 공격자의 위협에 여전히 노출돼 있는 상황이 되는 것이다. 그럼에도 시장에서는 마치 악성코드를 탐지하고 치료하는 것이 APT 방어라는 잘 못된 메시지로 고객의 판단을 흐리는 솔루션이 우후죽순 늘고 있다.

이러한 소위 ‘단순 악성코드 탐지 솔루션’을 도입하는 것이 문제가 되는 것은 이것이 결국 추가 기술 도입이라는 중복 투자를 부르는 점이다.

그럼, APT 방어 솔루션 도입을 위해 기업은 어떤 부분을 중요하게 고려해야 할까.

먼저 최근 급증하고 있는 소위 APT 솔루션들에 대한 정확한 비교 검토가 필요하다. 어떤 보안 기업은 여전히 기존 시그니처 혹은 휴리스틱 기반의 보안 기술을 차용하고 개선해 APT 솔루션에 적용한다.

APT 공격자들은 새로운 기술로 전통적 보안 기술을 무력화시키기 때문에 기존 기술을 차용 하거나 변형시킨 솔루션으로 APT에 대응하는 것은 마치 레이더를 무력화시키는 스텔스 기능을 보유한 신형 전투기를 레이더 기능을 더 향상시킴으로써 막을 수 있다는 논리와 같다.

두 번째 같은 기술을 사용하더라도 기술의 성숙도와 실효성을 검토해야 한다. APT는 알려지지 않은 기술에 기반해 네트워크에 끊임없이 새로운 보안 취약점을 만들어 낸다. 공격에 사용하는 악성코드 역시 시그니처가 알려지지 않은 신종 혹은 변종의 악성코드를 사용한다. 패치가 만들어지기 전 취약점을 공격하는 제로데이, 이메일을 통한 스피어피싱, 그리고 유명 애플리케이션의 취약점을 이용한 익스플로잇 침투 등 다양한 공격 루트와 단계를 거쳐 장기간 동안 진행된다. 해당 솔루션이 이러한 모든 공격 루트와 단계에 대한 탐지 및 분석능력이 있는지 확인해야 한다.

지난 3·20때 경험했듯 APT와 같은 신종 위협은 기업의 존폐와 국가 안보를 위협할 정도로 그 위험성이 매우 심각하다. 즉 잘못된 보안 투자가 단순히 특정 기업의 비즈니스에 지장을 주는 것을 넘어 경제, 기간 인프라 등 국가의 근간을 취약하게 만들 수 있다는 점에서 APT 방어에 대한 의사결정은 매우 중요하다. 과열된 보안시장 속 APT 방어에 대한 올바른 이해와 솔루션 채택으로 잠재된 보안 위협에 선제적으로 대응해 나가기를 기대한다.

전수홍 파이어아이코리아 대표 soohong.jun@fireeye.com