2010년 APT(Advanced Persistent Threat)란 용어가 본격적으로 등장 한 이후 세계의 보안 업계는 APT에 대한 관심이 급격히 일어났다.
일부에서는 APT가 마켓팅을 위한 용어라고 주장하지만 실제로 APT가 장시간에 걸쳐 매우 정교하고 치밀한 방어하기 어려운 공격형태를 보이고 있으며 그 피해도 가시적으로 상당하게 일어나고 있다.
APT공격은 오랜 분석을 통해 몇 가지 형태를 띠고 있다. 단 한번만의 공격으로 끝나는 게 아니라, 정보를 빼내기 위해 지속적이며 광범위한 대상을 상대로 연속적으로 일어난다.
또 해커들이 높은 수준의 보수를 받고, 그에 대한 임무완수를 위해 조직화되기도 하고, 공격 목표에 일단 침투하면, 장시간 목표에 머물면서 시간을 두고 치밀하게 정보를 빼내 간다.
이 가운데 신우티엔에스(대표 박범준)는 APT공격 방어를 위한 클라우드 기반 통합 보안플랫폼 지스케일러(Zscaler)를 제공하고 있다.
APT에 특화된 대부분의 솔루션들이 행동분석에 초점을 맞추고 있는 반면 지스케일러는 브라우저기반 취약성에서부터 URL필터링, 동적 콘텐츠 검사, 행동분석까지를 망라한 APT방어 기능을 제공한다. 이를 통해 종합적인 분석과 적용, 리포트를 할 수 있다.
지스케일러는 모든 기업의 IT인프라를 완벽하게 인터넷으로부터 둘러쌓을 수 있는 클라우드 기반의 보안솔루션이다.
공인테스트기관인 AV-TEST GmbH의 ‘Cloud Web Gateway Test’와 Miercom의 ‘Malware, Zero Day and Advanced Attack Protection Analysys’를 통해 우수성을 입증받은 바 있다.
신우티엔에스 측에 따르면 APT공격은 곤충들이 허물을 벗고 탈바꿈을 하듯 지속적으로 변화하는 다단계 방법에 의한 공격이다.
이를 APT의 라이프사이클이라 하는데 정찰, 최초감염, 제어, 자료유출의 4단계를 가지고 있고 각 단계는 다시 세부적인 단계로 구분돼 기존 보안방식을 무력화시키는 복잡성을 가지고 있다.
따라서 이에 대한 최상의 방어방법은 라이프사이클의 가능한 모든 단계에서 방어해 일련의 공격진행에서 각 세부단계들을 차단해 공격 궤도에서 그 연속성을 제거하는 것이다.
방어의 기본요소는 방어, 탐지, 치료의 사이클로 구성되는데 ‘방어’는 인-라인에서 트래픽을 검사할 수 있어야 하고, 공격의 대부분이 이루어지는 SSL을 해독할 수 있어야 한다.
또 차단을 위해 취약성 방어, 바이러스 차단, URL필터링, 블랙리스트, Security Feed와 같은 사전 예방기술을 가지고 있어야 한다.
‘탐지’는 사람과 봇 사이의 트래픽에서 비정상적인 트래픽 패턴 식별, P2P트래픽, 의심스러운 목적지로 나가는 트래픽, 알려져 있거나 의심이 되는 악성코드를 식별, 악의적인 행동을 발견할 수 있는 능력을 가지고 있어야 한다.
‘치료’는 공격이 탐지되면 경고를 함으로써 APT공격으로 인한 감염을 치료하고 더 이상 피해를 막을 수 있도록 해결을 할 수 있을 때까지 격리와 해결을 할 수 있어야 한다.
이렇듯 APT에 대한 최상의 방어는 방어, 탐지, 치료의 사이클을 가지고 통합적으로 보안이 이뤄져야 하며 지속적으로 업그레이드돼야 한다.
또 이를 위한 보안인프라는 모바일 기기와 원격근무자의 증가에 따라 기관의 인터넷관문에 설치되는 것으로 한정되는 게 아니라 모든 장소, 모든 기기에 적용이 돼야 한다.
실제로 지점을 많이 가지고 있는 기관 또는 대기업의 경우 본사와 대형지점에는 많은 투자를 통해 복잡하고 많은 보안장비를 가지고 있으나 값비싼 보안장비나 전용회선을 사용하지 못하는 소형지점의 경우 인터넷을 통한 VPN통신을 하는 경우가 많이 있다.
특히 해외에 지점을 가지고 있는 기업의 경우 더욱 이러한 상황이 많이 있는 게 사실이다. 이 경우 APT공격은 보안이 취약한 소형지점의 단말을 먼저 감염시켜서 내부의 네트워크로 감염을 확산해 공격하는 것을 택하게 된다.
결국 앞문을 단단히 긴장하고 지키고 있지만, 뒷문으로 들어오는 도둑을 못 막는 상황이 연출되며 소형지점의 감염된 직원의 단말은 트로이목마가 되는 것이다.
이러한 치명적인 피해로 인해 새로운 보안 솔루션들이 속속 시장에 등장하고 있는 가운데 지스케일러는 기존 어플라이언스가 가지고 있는 단점인 개별 전용 어플라이언스의 기능 및 성능의 한계성을 극복할 수 있따.
뿐만 아니라 전체 보안상황에 대한 가시성의 한계성, 비싼 구매비용, 설치의 어려움, 운영비용 등도 해결할 수 있다.
이 업체 관계자는 “지스케일러는 APT에 대한 공격방어 및 사내 네트워크의 보안영역인 모바일환경과 클라우드환경에서도 회사의 보안정책을 적용할 수 있는 유일한 대안”이라고 설명했다.
이진수 기자 (ljs@etnews.com)