로그인회원가입
SW 보안

[APT특집]기업의 최대 고민 APT···끈질기고 은밀하다

“올해 최대 고민은 지능형지속위협(APT) 공격이다. 이메일을 통한 APT 공격 대응 체계를 만들겠다.” 침해사고대응팀협의회(CONCERT) 조사결과 올해 기업 보안 담당자 최대 고민은 APT 공격 대응이었다.

은밀하면서 끈질기게 계속되는 APT 공격은 한마디로 성공할 때까지 이어진다. 수 천통에 달하는 공격 이메일이 날라온다. 직원 중 한 명이 공격 메일을 실행하면 APT 공격은 성공이다.

◇급증하는 APT 공격

최근 국내외 주요 인프라를 겨냥한 APT 공격이 연이어 발생했다. 지난해 세계를 떠들썩하게 만든 소니픽처스 해킹을 비롯해 한국수력원자력 원전도면 유출 사고 등이 대표적인 APT 공격이다. APT는 특정 목적을 달성하기 위해 모든 수단과 방법을 동원해 지속적으로 공격하는 위협이다. 예상하지 못했던 취약점을 파고들기 때문에 선제방어가 어렵다.

자료:시만텍
자료:시만텍

시만텍에 따르면 지난해 특정 대상을 목표로 스피어피싱(spear-phishing) 이메일을 이용해 네트워크에 잠입하는 지능형 표적공격 캠페인은 전년 대비 8% 증가했다. 공격 정확도가 한층 높아져 표적공격에 사용된 스피어피싱 이메일은 14%나 감소했다. 이메일을 수신한 기업도 20%나 감소해 적은 노력으로 표적공격을 성공적으로 실행한 것으로 분석됐다.

스피어피싱 공격은 기업 규모와 상관없이 전반적으로 증가한 것으로 나타났다. 2014년 한 해 동안 직원 2500명 이상의 대기업 6개 중 5개 기업이(83%) 스피어피싱 공격 표적이 됐다. 2013년 43% 대비 무려 40%포인트나 증가한 규모다. 중소기업도 예외가 아니었다. 중견기업(직원 251~2500명)은 63%, 소기업(직원 250명 이하)은 45%가 공격 표적이 됐다.

표적 공격에 사용된 스피어피싱 이메일을 분석한 결과 .doc 형태 마이크로소프트 워드 파일(38.7%)과 .exe 형태의 실행 파일(22.6%)이 가장 많이 이용됐다.

◇은밀하게 끈질기게

자료:맨디언트
자료:맨디언트

파이어아이에 따르면 지난해 사이버침해 사고 226건을 조사한 결과 90%가 스피어피싱이었다. 공격자는 특정 기업이나 조직에 표적을 노려 끈질기게 이메일을 보낸다. 케빈 맨디아 파이어아이 사장은 “공격자는 사람을 공격한다”며 “믿음을 악용한다”고 설명했다.

최근에는 대기업 협력사를 노린 APT 공격이 늘었다. 특정 대기업을 직접 공격하기보다 보안이 취약한 협력사를 경유한다. 협력사는 APT 공격을 막을 수 있는 자원도 능력도 부족하다. 대기업은 단순히 자체 기업 조직을 보호하는 것을 넘어서 공급망(Supply Chain) 보안도 신경 써야 한다.

공격자는 보안이 취약한 협력사 홈페이지 등에 악성코드를 삽입하고 표적 기업 직원이 방문해 감염될 때까지 기다린다. APT 공격 일종인 ‘워터링홀’이다. 물가에 숨어 먹잇감이 다가오기를 기다리는 맹수의 사냥 기법이다. 공격자는 표적이 감염될 때까지 수개월에서 수년에 걸쳐 작전을 수행한다. 공격자는 APT를 성공하기 위해 기업 조직과 시스템을 끊임없이 학습한다.

◇APT 숨은 배후는

APT 공격은 짧게는 수개월에서 길게는 수년에 걸쳐 조직적으로 작전이 수행된다. 한마디로 공격이 성공할 때까지 이뤄진다. 보안기업은 APT 공격 배후에 거대한 조직이나 국가가 있다고 분석했다. 파이어아이가 지목한 APT30이라는 그룹은 가장 오랜 시간 활동한 조직이다. APT30은 중국정부 후원을 받고 있는 것으로 추정된다. 최소 2005년부터 사이버 첩보 활동을 수행해온 APT30은 공격 도구와 전술 및 절차(TTPs)에 특징이 나타난다. 이들은 말레이시아, 베트남, 태국, 네팔, 싱가포르, 필리핀, 인도네시아 등 동남아시아와 인도를 중심으로 지속적인 활동을 벌였다. 이는 매우 드문 경우로 대부분 APT 공격자는 탐지를 피하기 위해 규칙적으로 자신의 공격 툴과 전술 및 절차를(TTPs) 조정한다.

지난해 말 한수원 원전도면을 인터넷에 공개한 조직은 ‘킴수키’로 명명된 그룹이다. 개인정보범죄 정부합동수사단은 한수원 사이버테러 사건 중간 결과 발표에서 북한 해커 조직 소행으로 판단했다. 북한 해커조직이 쓰는 킴수키와 구성 및 작동 방식이 유사하기 때문이다. 공격자는 자료 탈취와 이메일 공격, 자료 공개 등 범행에서 IP 추적을 막기 위해 인터넷 가상사설망(VPN) 서비스 업체 H사에서 할당받은 IP를 사용했는데 여기에도 북한 연관성이 발견됐다.

캐빈 맨디아 파이어아이 사장은 “과거 해킹 사건은 범죄조직이 관여했지만 이제는 국가가 가담하기 시작했다”며 “과거와는 완전히 다른 양상으로 사이버 위협이 증가하고 있다”고 말했다.

김인순기자 insoon@etnews.com