`고가의 지능형지속위협(APT) 대응 솔루션만 도입해서는 사이버 위협을 막을 수 없다. 기업에서 보호하려는 자산을 명확히 규정하고 운영 인력 전문성을 높여야 한다.`
기업 보안담당자들은 APT 공격을 정의하는 것부터 어렵다고 입을 모았다. 위협 유형 자체 정의가 어려워 대응도 쉽지 않다. 해커는 매번 새로운 방법으로 공격을 시도하고 수백일 동안 잠복하며 결정적 시점을 기다린다. 한국침해사고대응팀협의회(CONCERT)는 10명의 기업 보안담당자로 구성된 위원회를 만들고 APT 대응 솔루션 도입 시 고려사항과 필요 기능, 주의점 등을 논의해 컨슈머리포트를 발간했다.
2011년 농협 전산망 마비를 비롯해 SK커뮤니케이션즈, 한국수력원자력 원전도면 유출 등 대형 보안사고는 APT 공격이었다. APT 공격은 기존 보안 사고처럼 한 개 기술이나 기법이 아니다. 공격 유형이나 방법을 지칭하는데 한 개 보안 장비를 도입해서 방어가 어렵다. APT 솔루션은 악성코드 패턴과 가상 분석 환경을 이용해 제로데이나 알려지지 않은 공격을 분석해 차단한다.
연수권 위원(포워드벤처스)은 “용어도 모호하고 정해진 규칙도 없는 APT 공격은 단순히 한 개 솔루션으로 막을 수 없다”면서 “기업 환경에 적합한 APT 방어 솔루션을 도입하고 다른 보안제품이나 보안활동과 연계해야 피해를 최소화한다”고 말했다.
이은경 위원(키움증권)은 “APT 보안제품처럼 최근 신규로 도입하는 제품은 업체가 제안하는 기능만 확인했다가 실제 운영 때 발생하는 문제정보가 부족해 제대로 활용하지 못하는 경우가 많다”면서 “제품 필수 기능 외에 보안담당자 측면에서 필요한 기능을 파악해야 한다”고 설명했다.
임동철 위원(열심히커뮤니케이션즈)은 “APT 제품은 기존 방화벽이나 웹방화벽과 달리 지속적인 가상화 분석과 커스터마이징, 연관성 분석 등 계속해서 장비를 활용해야 한다”면서 “장비 구입 후 초기 세팅만으로 운영한다는 생각을 버려야한다”고 지적했다.
최병훈 위원(CJ오쇼핑) 역시 “APT 장비를 도입한 것만으로는 소용이 없다”면서 “보안담당자 노력과 기업의 원활한 지원이 있어야 효과적으로 공격을 차단한다”고 설명했다.
김후언 위원(에쓰오일)은 “APT공격 시작이 웹인지 이메일인지, 네트워크에서 분석해 차단할지 PC에서 대응할지 결정해야 한다”면서 “보안담당자는 한정된 자원으로 최대 효과를 거두는 방법을 선택한다”고 말했다.
강봉관 위원(사람인HR)은 “APT 대응 솔루션으로 나온 제품 중에는 무늬만 APT솔루션도 상당했다”면서 “단일 애플리케이션이 아니라 다른 장비와 연계해야 APT 공격에 대응할 수 있다”고 설명했다.
김인순 보안 전문기자 insoon@etnews.com