현장속으로/세미나

APT 대응을 위한 가트너의 제언

빵끼 2014. 2. 14. 18:59

작년 10월 23일에 “Stay Confident, We’ve Got Your Back”이라는 주제로 안랩 융합보안전략 컨퍼런스(ISF 2013 : Integrated Security Fair)가 열렸다. 최근 화두가 되고 있는 APT에 대한 안랩의 대응 전략에 대해 김홍선 대표의 키노트 후 이어진 두 번째 키노트에서는 세계적인 시장조사기관 Gartner의 분석가 로렌스 핑그리(Lawrence Pingree)의 발표가 있었다. ‘APT 대응을 위한 차세대 보안 전략(Best Practices for Mitigating Advanced Persistent Threats)’이라는 주제로 APT에 대한 가트너의 제언을 볼 수 있는 키노트였다.




보안 분야에서 문제를 겪는 것에는 크게 두 가지 요인이 있다. 첫번째는 웹, 웹 사이트 등 사용자 이름, 비밀번호 등과 관련된 것이고, 두 번째로는 멀웨어, 특히 최근에는 진화된 멀웨어가 있다. 이번 발표는 웹보다는 멀웨어와 관련하여 발생하는 문제에 대해 주로 언급하였다. 2013년 한 해 동안 방화벽, IPS(Intrusion Prevention Systems, 침입방지시스템), 엔드포인트, 웹 게이트웨이 솔루션 등에 130억 달러가 투자될 것으로 예상되지만, 여전히 해커들은 계속 공격에 성공한다. 보안에 대한 투자는 상당히 많이 이뤄지고 있지만, 여전히 우리는 그 피해를 보고 있다. 한 예로 2009년부터 2013년 사이에 북한의 사이버 공격에 따른 피해가 8600억원으로 추정된다고 한다.

그래서 핑그리는 APT와 관련하여 크게 3가지로 이야기를 하기로 했다. 첫 번째로는 APT란 무엇이고, 왜 전세계적으로 대단한 위협이 되고 있나에 대한 것이다. 두 번째로는 APT에 대응하는 우리의 적절한 전략은 무엇인가 라는 점이다. 마지막으로 세 번째로는 APT에 대응하는 시나리오에 대해 언급한다고 하였다.

 

1. APT란 무엇인가. 그리고 왜 전세계적으로 대단한 위협이 되고 있나.

APT는 Advanced Persistent Threat의 약자로, 다음과 같이 정의할 수 있다.

A: 기존의 방어체계를 꿰뚫는다.

P: 침투에 성공할 때까지 끊임없이 시도하고, 침투한 후에도 잠복하여 목적을 달성하고자 한다.

T: 피해를 발생시킨다.

이러한 APT는 제로데이 취약점 등 기존에는 시도되지 않은 새로운 공격 벡터 방식을 이용한다. 보안망 아래에서 숨어 있다가 활동하며, 자신들이 얻고자 하는 목표를 달성할 때까지 지속적으로 공격을 한다. 더구나 그 공격의 주체는 체계화되어 있고, 재정적인 여유가 있는 상황으로 원하는 목표를 위해서 쉽게 물러서지 않는다.


APT는 다음과 같은 속성을 가진다. 첫 번째로 APT는 기존의 시그니처 기반의 보안 솔루션으로는 쉽게 탐지되지 않는다. 특정대상을 공격하기 위해 타깃화 되어 있는 악성코드이다. 두 번째로 오랜 기간 동안 은닉하고 숨어있으며, 스스로 업데이트 되는 지능적인 공격 형태를 가진다. 세 번째로는 공격 초기 단계에 설정한 목표물을 탈취하거나 무력화시키는 공격형태를 가진다. 네 번째로 공격을 위한 정보, 취약점을 수집하기 위해 소셜 미디어를 활용하며, VPN 등을 이용해서 내부에 침투한다.

그런데 APT라는 용어는 과거 미군에서 처음 사용된 용어로 주로 국가적인 차원의 공격에 초점을 맞추는 용어이다. 요즘의 타깃화 된 공격은 금전적인 목적을 위한 범죄 행위가 많다. 그래서 가트너에서는 APT라는 용어 대신 ATA(Advanced Targeted Attack)이라는 용어를 제안했다.


그렇다면 위와 같은 특성을 가지는 ATA는 어떤 목적으로 시도되는지에 대해 생각해 볼 필요가 있다. 먼저 ATA를 시도하는 해커는 이전에 시도되는 공격 때와는 다른 성향을 가지는 해커들이다. 목표 지향적이고, 충분한 자금을 가지고 있고 그 자체의 생태계를 가지고 있어서 당장 얻을 수 있는 것보다는 큰 목표를 가지고 행동한다. 두번째로 산업 스파이 같은 형태가 있다. 기업의 지적 재산권이나 비밀을 탈취하려는 목적을 가지고 계획한다. 또한 정치, 사회 운동가 및 테러 단체의 공격으로 시도되기도 한다. 자신들의 주장을 피력하고 위협을 가하려는 목적을 가진 것이다. 대표적으로 북한 시도로 추정되는 사이버 공격이 그러한 사례로 볼 수 있다. 이 밖에도 원래 APT라는 용어의 기원처럼 국가 차원의 정치, 군사, 경제적 목적으로 공격이 이뤄지는 경우도 있다.


2. APT에 대응하는 우리의 적절한 전략은 무엇일까.

일단 APT, ATA의 위협을 알아보았으니 그것에 대해 어떻게 전략을 세울 것인가에 대한 고민이 필요하다. 먼저 우리의 기업도 ATA의 타겟이 될 가능성이 높은지, 기업이 직면하고 있는 위협을 파악하고 그에 맞는 적절한 대응 전략을 수립할 필요가 있다.


먼저 기업이 중요한 국가적, 사회적 인프라와 연관성이 얼마나 있는지에 대한 파악이 필요하다. 만약 기업의 피해가 국가적 손실로 바로 연결된다면 기업과 국가 모두에 큰 타격이 될 수 있기 때문이다. 대표적으로 에너지 관련 기업이나 교통, 금융기관 같은 사회 인프라와 관련된 국가 기간 산업이 있는데, 피해를 받게 되면 여러 다른 산업에까지 줄줄이 피해를 줄 수 있다. 두번째로는 사업의 연속성 중단에 따라 받게 되는 기업의 타격에 대해서도 파악할 필요가 있다. 만약 잠깐 일이 중단되어도 괜찮다면 상관없지만, 잠깐이라도 일이 중단되어서는 안 되는 기업이라면 위협에 대비할 필요성이 더욱 커진다.

그래서 우리는 기본에 충실할 필요가 있다. 비즈니스 관점에서 ATA의 위협에 대한 인식이 필요하다. 그런데 단순한 악성코드를 막고, 제거하는 것만으로는 ATA에 대한 대응이 부족하다. 그렇기 때문에 우리는 위협에 대한 가시성을 증가시키고, 기업의 책임 범위를 좀 더 확대할 필요가 있다. 만약 그러한 사고에 대응하는 역량이 부족하다면 그것은 ATA에 대응하는 데 큰 걸림돌이 된다.


그렇다면 이러한 ATA에 대응하기 위한 솔루션 시장의 상황을 보자. 이러한 솔루션들은 ATA 대응을 위해 여러가지 서비스를 하고 있다. 네트워크 트래픽 분석, 네트워크 포렌식, 페이로드 분석, 엔드포인트 행위 분석, 엔드포인트 포렌식, 이렇게 크게 5가지가 있다. 하지만 많은 솔루션들은 현재에도 사용되는 웹 게이트웨이, 차세대 방화벽, 엔드포인트 보안 등의 방법을 기반으로 ATA 대응 시장에 진출하고 있다. 그래서 ATA에 대응하는 솔루션은 기존의 엔드포인트/시그니처 기반의 솔루션과 함께 상호보완적으로 작동하고 있다. 이러한 상황을 볼 때 ATA에 대응하기 위한 솔루션 시장은 여러 제품의 기능과 성능 그리고 효과가 비교되기 시작하는 단계에 있다고 볼 수 있다. 시간이 조금 지난 후에는 시장 검증을 통해 ATA 솔루션 기술이 개선될 것으로 보인다.

 

3. APT 대응 시나리오

그럼 이제 APT에 어떻게 대응을 하면 좋을까, 그 시나리오에 대해 알아본다. 기업의 규모에 따라 시나리오는 다르게 적용될 필요가 있다. 아무래도 정부기관이나 대기업일수록 중요한 정보가 상대적으로 많고, 공격을 받으면 그만큼 피해의 규모가 더 커질 수 있다. 그래서 더 철저하게 대비를 할 필요가 있다. 한편 기업의 규모가 작을수록 보안에 투자할 수 있는 여력이 상대적으로 부족하다. 따라서 적은 비용으로 효과적인 대처를 할 수 있도록 선택과 집중이 필요하고, 협력이 더 필요하다.


 


지금까지 이렇게 APT에 대응하는 가트너의 차세대 보안 전략에 대해 크게 3가지로 정리를 해 보았다. 이것을 정리하며 가트너는 다음과 같이 제안한다.


먼저 기업이 직면한 위협 수준과 실질적으로 보안에 대한 필요성이 얼마나 되는지를 파악하는 것이 중요하다. 이것은 즉 주목적이 위협에 대한 파악인지, 위협을 제거하고 그에 대한 흔적을 찾고 싶은 것인지 등 보안에 대한 명확한 목표를 설정한 후에 실질적인 대응이 가능하다는 것이다. 두번째로는 예상되는 공격 형태에 따라 균형 잡힌 ATA 대응 전략을 수립할 필요가 있다. 마지막으로 악성코드를 이용한 타깃 공격에 특화된 솔루션에 대한 검토가 필요하다. 악성코드를 이용한 타깃 공격은 모든 기업이 맞이하고 있는 문제로 기업의 특성, 형태에 따라 중요 자산에 대한 파악, 우선 순위를 정하고, 그에 맞춰서 보안 위협을 예측하고 적절한 솔루션 도입 계획이 필요하다.


그러면 이러한 것을 앞으로 어떻게 실행할 것인가. 지금 당장은 ATA 대응 전략 수립을 위한 전사적인 태스크포스 팀을 꾸리는 것이 좋다. 그리고 90일 이내에 실효성 있는 ATA 대응 전략을 수립하고, 효율적인 ATA 대응 솔루션을 검토하며, PoC(Proof of Concept, 개념 증명) 및 평가를 하는 것이 필요하다. 그리고 향후 1년 동안 ATA 대응 솔루션을 구축하고 대응 현황 분석 및 모니터링이 된다면 앞으로 APT에 대해 적절한 대응을 할 수 있을 것이다.



APT는 기업에게 상당히 큰 보안위협이 될 수 있다. 하지만 많은 기업들이 전통적인 대응 시스템을 가지고 전혀 다른 형태의 공격에 대비하려고 하고 있다. 진화하는 위협을 막기 위해서 우리는 더 진화된 대응 시스템을 가지고 미래를 대비해야 할 것이다.




대학생기자 방기수 / KAIST 항공우주공학전공


지속가능성에 대한 고민을 하고 있습니다.

"우리는 우리가 하는 행동에 의해 우리가 된다." 


gisu.bang@kaist.ac.kr