[ET단상]HEAT와 APT 공격의 차이점

마크 건트립 멘로시큐리티 사이버보안 전략 총괄
마크 건트립 멘로시큐리티 사이버보안 전략 총괄

급변하는 기업 보안 세계에서 지난 2년은 어느 때보다 변화의 소용돌이를 겪은 시기였다. 원격 근무와 클라우드로의 이전, 서비스형소프트웨어(SaaS) 애플리케이션(앱)의 부상은 비즈니스 방식에 혁신을 가져왔지만 동시에 보안 취약성이라는 판도라의 상자를 열기도 했다.

사이버 공격자들이 웹 브라우저를 손상시키고 엔드포인트에 대한 초기 액세스 권한을 획득한 후 랜섬웨어나 멀웨어와 같은 위협 배포에 활용하는 '회피성 뛰어난 적응형 위협'(HEAT) 공격은 탐지를 회피하는 능력에서 타의 추종을 불허한다.

그런데 여전히 많은 사람이 탐지를 회피하고 엔드포인트에 악성 페이로드를 전송한다는 점에서 HEAT 공격과 '지능형지속위협'(APT) 공격을 혼동하고 있다.

위협 행위자가 공격에 이 둘을 함께 사용하는 사례, 그리고 이러한 공격을 방어할 때 주의점 등을 알아보자.

HEAT 공격 형태는 엄청나게 많다. 하지만 회피형과 적응형이라는 명칭에서도 알 수 있듯 위협 행위자는 성공 확률을 극대화하기 위해 장기간 탐지되는 것을 피하고 최대한 회피하는 데 주력한다. 공격자는 일반적으로 사용되는 특정 기술이나 보안 기법을 우회하는 방법을 이해하고 있다.

이메일 피싱 탐지든 샌드박싱이든 조직을 보호하기 위해 도입된 '표준' 기술이 있는데 이런 유형의 탐지를 회피할 수 있다는 것을 알고 있다면 사이버 공격이 더 높은 수준의 성공을 거둘 수 있다는 점이다.

HEAT 공격은 네트워크에 침입하기 위한 초기 엑세스(접속)에 사용되며, 이후 APT가 배포될 수 있다. 따라서 동전의 양면 또는 동일한 프로세스의 두 부분으로 볼 수 있다. HEAT 공격으로 목표하고 있는 표적 네트워크에 접속할 수 있게 되면 APT는 원하는 대로 피해가 나게 된다. HEAT 공격 자체는 피해가 나게 하는 것이 아니라 피해가 나게 하는 것을 전달한다. 이것이 둘의 큰 차이점이다.

그러나 이 두 가지 공격은 서로 결합돼 동일한 공격에 사용될 수도 있기 때문에 별개의 공격으로 구분해서 생각해서는 안 된다. 예를 들어 노벨리움(Nobelium) 공격은 피해자에게 APT를 전달하기 위해 HEAT의 특징인 HTML 스머핑을 사용했다. 이는 두 가지가 겹치거나 분리되지 않고 함께 사용되는 좋은 예다.

현재 모든 직원들은 하이브리드 업무와 사람들이 휴대폰이든 다른 것이든 회사 네트워크에 연결된 모든 장치에서 원격으로 작업하는 것에 익숙하다. 그러나 만약 맥(Mac)을 사용하는 경우 아이클라우드(iCloud)에 연결돼 있으므로 이런 사용자를 공격하는 모든 것이 사내 기기로 전달될 수 있다.

특히 HEAT 공격과 관련된 잠재적 노출의 영향은 엄청날 수 있다. HEAT 공격의 핵심은 강력한 보안 환경을 잘 우회해 액세스(접속)하는데 집중한다는 사실로 돌아가서, 누군가 기업이 관리하지 않는 내 개인 디바이스에 대한 액세스 권한을 얻을 수 있다면 회사 리소스에 액세스하는 데 사용할 수 있다. 이는 회사 소유 디바이스에 모든 권한을 가진 사람이 초기 액세스 권한을 갖는 것과 거의 같거나 적어도 그 못지않은 큰 문제다.

무엇보다 우려되는 것은 HEAT 공격은 적응을 잘한다는 것이다. 상황은 분명히 변할 것이다. 공격자들은 조직을 보호하기 위해 마련된 기술을 속이는 데 더 능숙해지고 있을 뿐만 아니라 링크를 클릭하고 파일을 다운로드해서 위협을 활성화하는 데에도 능숙해지고 있다.

따라서 주기적으로 HEAT 공격에서 무엇을 찾아야 하고 어떻게 작동하는지에 대한 더 많은 교육이 필요할 뿐만 아니라 HEAT 공격이 들어올 때 어떤 모습으로 나타날 수 있는지 관찰해 예방뿐만 아니라 신속한 탐지를 위한 보안 가시성을 높이는 데 주력해야 한다.

마지막으로 가장 강조하고 싶은 것은 웹 브라우저의 가시성을 높여야 한다는 것이다. HEAT 공격은 웹 트래픽 사이에 존재한다. 브라우저에 존재하며, 브라우저가 엔드포인트에 있지만 엔드포인트 보안 솔루션은 브라우저 내부에서 일어나는 일에 대한 가시성을 확보하지 못할 수 있다.

브라우저 내부는 스크립트를 실행하고 코드를 실행할 수 있는 매우 강력한 플랫폼이다. 어떤 일이 발생하기 전에 애플리케이션 내부에서 이 모든 작업을 수행할 수 있다. 이는 엄청난 잠재적 사각지대다. 브라우저는 사각지대일 뿐만 아니라 가장 표적이 되는 접근 지점이기도 한다.

우리는 온라인에서, 브라우저에서 많은 시간을 보낸다. 모든 디바이스에는 브라우저가 탑재돼 있다. 디바이스 수보다 브라우저 수가 더 많을 수도 있다. 브라우저는 가장 널리 배포된 엔터프라이즈 앱이다.

우리는 웹 사이트뿐만 아니라 앱을 비롯한 모든 것에 액세스할 때 브라우저를 사용한다. 브라우저는 우리가 생활하고 업무를 수행하는 데 사용하는 모든 것을 담고 있다는 점에서 강력한 탐지 및 대응 체계 구축에 나서야 한다.

마크 건트립 멘로시큐리티 사이버보안 전략 총괄 korea@menlosecurity.com