CEO 진단, 최신 APT 공격 어떻게 막을까

현장속으로/세미나 2013. 3. 25. 07:00

지난 3월 7일 코엑스 인터컨티넨탈호텔 하모니볼룸에서 <12th Next Generation Network Security Vision 2013 세미나>가 열렸다. 이날 열린 세미나에는 국내외 보안 업체들이 다수 참가해 세미나 발표 및 전시를 했다. 오전에는 안랩(AhnLab), 넷맨(NetMan), 팔로알토(Paloalto)가 차세대 보안 로드맵을 제시하고 앞으로의 효율적인 보안 대책을 발표했다. 안랩 김홍선 대표는 ‘보안 패러다임의 변화 및 차세대 보안 전략’이라는 주제로 세미나를 시작했다. 다음은 주요 내용.

현재 한 개인이 쓰는 디바이스는 과거에 비해 많아졌다. 또한 IT 대중화로 인해 사용자는 디바이스가 사용자 중심으로 좀더 편리하고 안정성 있게 운영되기를 원한다. 만약 이런 사용자의 욕구를 충족시키지 않는다면 사용자는 그 제품을 사용하지 않게 된다. 단순히 제품(Product)으로 보는 것이 아니라 새로운 형태로 비즈니스 형태로 봐야 한다”며 대중의 관점에서 살펴보는 필요성을 역설했다.

최근 보안 업계 트렌드도 바뀌고 있다. 과거에는 패시브한 방식으로 백신과 IPS과 같이 알려진 외부 공격에 대비하고 방어했다. 하지만 최근에는 APT(Advanced Persistent Threat)라는 알려지지 않은 공격에 대해 개인뿐 아니라 기업까지 공격당하고 있다.

APT는 알려지지 않은 방식으로 공격을 하기 때문에 기존 방식으로는 막기 어렵다. APT 공격은 이전과 달리 굉장히 치명적이기 때문에 지능적으로 막아야 한다.

보안 위협의 변화 또한 주시할 필요가 있다. 현재 글로벌 조직 범죄가 일어나고 있으며 해킹 도구의 브랜드화가 일어나 일반인도 어렵지 않게 사용 가능하게 됐다. 최근의 공격은 악성코드를 통해 이뤄지고 있다. 요즘 모든 디바이스가 네트워크로 연결돼 다양한 루트로 악성코드가 들어온다. 매일 약 15만 개의 악성코드가 발생하고, 악성코드의 라이프 사이클도 줄어들었다. 악성코드는 특정 기업/기관을 겨냥해 지능적으로 이루어지는 APT 공격과 연계돼있기 때문에 각 기업은 주의해야 한다.

알려지지 않은 방식으로 은밀하게 공격하는 APT

뉴욕타임즈는 지난 2월 중국 해커로부터 여러 기밀 정보가 유출되는 APT 공격을 받았다. 더 놀라운 것은 그 사실을 넉 달 이상 탐지하지 못한 것이었다. 뉴욕타임즈 외에도 워싱턴포스트, EMC 등 주요 기업이 공격당했다. 과거 APT 공격의 주된 목적은 정부 및 군사 기밀 정보 탈취였다. 그러나 최근에는 금전적 이득을 취하고자 개인 정보나 기업의 기밀 정보 유출을 목적으로 한다.

과거 APT는 단일한 형태로 하나의 PC를 공격했지만, 최근 APT는 모듈화한 악성코드로 공격한다. 또한 장기간에 걸쳐서 디바이스에 은닉해있기 때문에 APT 공격을 받았는지 탐지하기가 어렵다. APT 공격은 한 PC에 머물지 않고 공격 대상 PC에 도달하기 위해 여러 PC의 취약점에 전이돼 공격한다. 적어도 6개월 정도의 로그를 파악하고 분석해야 공격의 시발점을 이해할 수 있다.

네트워크 보안 장비는 특정 임계치를 가지고 악성코드를 통제한다. 그러나 APT는 임계치 이하의 트래픽으로 공격하기 때문에 기존 장비로는 탐지하기가 어려워졌다.

APT 공격은 정상적인 루트로 공격하기 때문에 예측하기가 어렵다. 특히 공격 대상이 속한 국가에서 사용빈도가 높은 소프트웨어의 취약점을 이용한다. 예를 들어 해당 지역에서 신뢰를 받는 소프트웨어는 사용자가 아무 의심 없이 실행하기 때문에 보안에 취약할 수 있다. 최근에는 보안이 취약한 업데이트 서버를 장악해 보안 패치를 받을 경우 역으로 결국 APT 공격을 받기도 한다. 정상적인 루트로 공격하기 때문에 APT 공격을 포착하기란 어렵다. 

따라서 이런 특성에 최적화한 솔루션이 필요하다. 안랩의 APT 방어 솔루션 '트러스와처'가 대표적이다. 트러스와처는 클라우드 기반 분석 엔진, 행위 기반 분석 엔진, 동적 콘텐츠 분석 엔진(DICA Engine, Dynamic Intelligent Contents Analysis Engine) 등 세 가지 엔진으로 다차원 악성코드 분석/탐지 기능을 제공한다. 메모리 보호 기능을 우회하는 ROP 공격을 포착해내는 기술도 탑재했다. 이는 최근 급증하는 제로데이 공격도 놓치지 않고 감지하는 세계적으로도 앞선 기술이다. 이러한 기술의 우수성을 인정 받아 세계적 권위의 정보보안 어워드인 ‘인포 시큐리티 글로벌 엑설런스 어워드’에서 ‘신제품 출시(New product launch)’ 부문 동상을 수상하기도 했다. 

 

방어자 아닌 공격자 관점에서 보아야 

앞으로 정보보안의 지향점을 세 가지로 볼 수 있다.

첫째는 지능성. 네트워크뿐 아니라 웹, 애플리케이션이 어떻게 맞물려 돌아가는지 알아야 한다. 정보의 라이프 사이클을, 무엇보다 공격 행위를 보고 분석하고 다음 활동이 없는지 끊임없이 살펴봐야 한다. 모든 것을 당연하다고 넘기는 것이 아니라 과거의 이력까지 함께 보는 관점이 필요하다.

둘째는 실효성. 악성코드를 탐지하는 안티바이러스 소프트웨어에만 의존하지는 말아야 한다. 여러 계층에서 복합적으로 보는 관점이 필요하다. 실시간 감시뿐 아니라 사후 분석까지 완벽히 해야 한다.

셋째는 최적화. 앞으로 네트워크 트래픽이 급증할 것에 대비해 네트워크 보안 솔루션이 안정적으로 운영될 수 있는지 점검해야 한다. Ahn

 

대학생기자 김수민 / 아주대 전자공학부 


댓글을 달아 주세요