글로벌 컨퍼런스에서 빛난 안랩의 APT 대응 기술

안랩人side/포토안랩 2013.06.18 16:00

글로벌 보안 기업 안랩이 6 10일부터 13(현지 시각)까지 미국 워싱턴DC에서 열린 글로벌 보안 컨퍼런스인가트너 시큐리티 & 리스크 관리 서밋 2013’에 참가했습니다.

 

‘가트너 서밋은 세계 최대의 시장조사기관 가트너가 주최하는 글로벌 보안 컨퍼런스로, 안랩은 작년에 이어 아시아 최초로 2회 연속 참가하였습니다. 

 

 

 

안랩은 수많은 글로벌 보안 기업들과 어깨를 나란히 하며 전시장 한 코너를 차지했습니다. 올해 행사에서는 IT 환경이 클라우드 / 모바일 / 빅데이터 / 소셜 등 방향으로 진화함에 따라 기업 보안환경도 거기에 맞게 새롭게 발전해야 한다는 방향성에 대한 주제가 논의되었습니다


안랩은 그에 맞추어 APT 공격에 대한 최신 트렌드와 APT 대응 전문 솔루션안랩 MDS’를 집중 소개했습니다안랩 MDS 소개 브로셔와 APT 공격이 어떤 것인지 쉽게 설명해놓은 브로셔도 함께 전시했습니다. 

 

  

 

미국에 APT 공격에 대한 위협이 높아지며 안랩의 APT 공격 대응 솔루션인 안랩MDS에 많은 관심을 보였습니다. 특히 안랩 MDS는 올해초, 세계적 권위의 정보보안 어워드인인포 시큐리티 글로벌 엑설런스 어워드에서신제품 출시부문 동상을 수상한 바 있습니다.


특히 ‘안랩 MDS’는 더욱 정교하고 신속하게 악성코드를 분석할 뿐만 아니라 최근 급증하는 제로데이 공격도 놓치지 않고 감지하는 세계적으로 앞선 기술력을 자랑하는 제품입니다. 

.

 

APT 대응 솔루션 안랩 MDS를 찾는 바이어의 발길이 끊이지 않았습니다. 열심히 안랩 MDS를 소개하는 우리의 안랩인~!

 

 

 

전시장 곳곳에서 안랩의 기념품을 들고 다니는 사람들을 많이 볼 수 있었습니다. 

 

 

안랩은 이번 컨퍼런스에서 미국에 안랩의 기술력을 선보이고, 점차 증가하는 미국 내 APT 관련시장에서 솔루션 인지도 향상과 비즈니스 활성화를 기대할 수 있었습니다. 안랩인의 열정과 희망을 갖고 최선을 다한다면 미국뿐만 아니라 더 넓은 시장에 안랩의 위상을 드높일 수 있을 것이라 기대합니다. Ahn

 

사내기자 홍성지 / 안랩 커뮤니케이션팀


댓글을 달아 주세요

[보안 바로 알기 캠페인] #2 : APT 바로 알기

최근 신문이나 방송에 나오는 보안뉴스 중 빠지지 않고 등장하는 것이 바로 ‘APT.’ 도대체 이 APT가 무엇이길래 이렇게 자주 등장할까요? 일부에서는 현 보안 기술로는 도저히 막을 수 없는 공격으로까지 말하고 있지만, 적을 알고 나를 알면 못 막을 공격이란 없습니다.

 

APT 공격은 아파트 공격?

옛날 악성코드 공격엔 낭만이 있었다!” 최근에 들은 어느 보안 전문가의 농담 아닌 농담이었습니다. 실제로 최초의 악성코드는 자신들이 만들던 소프트웨어 불법복제에 대한 조그마한 복수(?)였고, 초창기 악성코드의 경향을 살펴보면 자신의 실력 과시용이 대부분이었으니 저런 푸념도 영 틀린 것은 아니라 할 수 있겠습니다.

 


이런 낭만의 시대(?)를 거쳐 보안위협은 APT라는 새로운 장을 열게 됩니다. 지난 포스팅에서도 잠깐 말씀 드렸듯 세계적 언론사 뉴욕타임스 정보유출, 007처럼 중동지역 국가기관을 상대로 다년간 정보유출을 시도한 플레임악성코드, 소니와 해커들간의 대결, 주요 IT 기업의 기밀 탈취 공격인 오퍼레이션 오로라’, 이란 원전 시스템을 노린 스턱스넷 악성코드, 그리고 국내 방송사와 금융기관을 노린 3.20 사이버테러까지 모두 APT 공격이었습니다.

 

APT 공격이란 아파트 공격이 아니라 ‘Advanced Persistent Threat’의 약자로 지능형 방법으로(Advanced), 지속적으로(Persistent) 특정 대상에게 가하는 보안 위협(Thereat)’을 뜻합니다. 특히, 여기서 과거의 불특정 다수를 노렸던 보안위협과 가장 차별화 되는 부분이 바로 하나의 대상을 정해서 성공할 때까지 공격한다는 점입니다.

 

영화 같은 APT 공격의 유형

영화에서 나오는 해커는 항상 허름한 청바지에 롹음악을 시끄럽게 들으며, 감자칩과 콜라를 먹던 손으로 어떤 시스템에 접속하기 위한 암호를 입력하고 있습니다. 물론 여기서 화면은 영화를 처음보는 사람이라도 알기 쉬울 정도로 친절하게 구성되어 있구요. 그리고 해커는 약간 표정을 찡그리다가 이내 웃으며 빙고~’라고 외치며 내부 시스템에 접속합니다.

 

해커의 방이나 옷차림은 개인의 영역이니 간섭할 수 없지만 현재의 APT 공격은 이보다는 더 복잡한 아래와 같은 과정을 거칩니다.

1) 목표 설정 및 사전 조사 -> 2) 악성코드 최초 감염 -> 3) 내부망으로 확대 및 백도어 및 툴 설치 -> 4) 권한 상승 및 탈취 -> 5) 내부인프라 장악 -> 6) 보안 사고유발

 

위의 단계에서 가장 영화와 같은 부분이 사전 조사 및 최초 감염의 단계입니다. 목표를 설정한 후에 해커는 내부에 침입하기 위해 부단한 노력을 합니다. 처음부터 중앙 시스템이나 서버 등에 접근할 필요가 없습니다. 왜냐하면 사실 기업/기관의 중요 시스템에 대한 보안은 대단히 단단해서 이를 처음부터 뚫기란 매우 어려운 반면, 개인PC를 먼저 장악한 뒤 합법적인 권한을 획득해 내부로 들어가는 것이 훨씬 더 쉽기 때문입니다.

 

최초감염 된 이후에 해커는 들키지 않고 내부망을 돌아다니며 취약점을 찾거나 지속적으로 정보를 유출합니다. 중동지역의 정부기관이나 기업을 노린 플레임악성코드는 약 2년간 PC에 상주하며 화면에 표시된 내용과 특정 대상 시스템에 대한 정보, 저장된 파일, 연락처 데이터, 컴퓨터 주변 대화 내용 녹화, 메신저 내용 탈취 등 각종 기밀 정보를 탈취해왔습니다. 따라서 최초감염이 가장 중요한 단계라고 보안 전문가들은 이야기하고 있습니다.

 

최초 감염을 하기 위해 해커는 회사 홈페이지, 컨퍼런스 참여 정보, 행사 정보를 통해 임직원의 이름과 연락처를 수집하거나 SNS, 블로그, 인터넷 쇼핑몰 등에서 표적으로 삼은 시스템, 프로세스는 물론 내부직원과 협력업체 직원 등 목표에 접근할 수 있는 모든 부분을 조사합니다. 이후 믿을만한 지인이나 회사 등으로 가장하는 사회공학적(social engineering)기법의 공격을 감행합니다. 또한 목표기관이 사용하고 있는 백신이 자신이 만든 악성코드를 탐지 하는지 못하는지 사전에 테스트를 하기도 합니다.

 

사회공학적 기법이란 쉽게 말해, 여러분의 호기심을 자극하는 방법입니다. 만약 여러분이 직장 인사팀이름으로 온 연봉계약서 통지라는 메일을 받는다면? 학교 교수/선생님 이름으로 온 학기 계획표라는 메일을 받는다면? 메신저 프로그램으로 친구에게 같이 찍은 사진이라며 URL링크를 받는다면? 프로그램 신규 업데이트를 실행하라는 메시지를 받는다면? 이를 실행하지 않을 사람이 몇 명이나 될까요? 참고로 해외 기관의 조사에 따르면 APT성 공격에 가장 많이 사용된 것은 악성 피싱 이메일 (Spear phishing mail)’이라고 하네요.

 

그런데 그것이 나랑 무슨 상관?

네 맞습니다. 이런 APT 위협의 대상은 대부분 기업입니다. 해커에게 주로 금전적 이익이 되는 정보들은 기업이 가지고 있기 때문입니다. 그런데 문제는 이런 돈 되는 정보가 대부분 나의 개인정보와 관계가 있는 경우가 많다는 점입니다. 실제로 최근에는 이렇게 탈취한 개인정보와 안드로이드 악성코드를 결합한 것으로 추정되는 소액결제 피해를 입은 실제사례가 발생하기도 했습니다. 결국 기업을 노린 APT공격이 개인에게까지 피해를 입힌 셈입니다.

 

그리고 APT가 정보유출만 관련 된 것이 아닙니다. 만약 해커가 예전 스턱스넷 악성코드로 원전을 노렸던 것과 같이 국가 기간 시설을 공격할 시에는 더 큰 피해가 발생할 수도 있습니다. 전기사용이 끊기고 전산망이 마비되면 금융거래가 멈출 수도 있고, 주식을 사고 팔 타이밍을 놓칠 수도 있고, 내가 주문한 옷이 주문 삭제가 되었을 수도 있으며, 기껏 만들어놓은 기말 레포트가 사라질 수도 있습니다.

 

내가 뜻하지 않게 가해자가 될 수도 있습니다. 예를 들어 내가 자전거 온라인 동호회 회원인데, 해커가 목표로 삼은 기업의 임()원도 같은 동호회의 회원이라고 가정합시다. 보통 APT공격자는 사전 준비 단계에서 이 정도는 다 조사합니다. 만약 내가 보안에 소홀해서 내 메일 계정과 동호회 ID가 해커의 손에 넘어간다면, 그냥 나와 같은 동호회에 가입한 죄밖에 없는 불쌍한 목표기업의 임원과 그 기업를 노린 APT공격은 반 이상 성공한 것입니다. 나의 동호회 계정으로 새로운 모임공지라는 내용의 가짜 메일에 악성코드를 살짝 묻혀 보낸다면 그 자전거를 좋아하는 불쌍한 임()원은 그 메일을 아무 의심없이 열어볼 확률이 매우 크기 때문입니다. 많은 보안 전문가들이 최초 침입을 하면, 이후에 들키지 않고 내부망을 돌아다니기는 매우 쉽다고 지적하고 있습니다.

 

전달자의 관점으로도 볼 수 있습니다. 내가 최신의 뜨거운 동영상을 받거나 기타 프로그램을 어둠의 경로를 통해 받았다고 했을 때, 아쉽게도 그런 파일에는 악성코드가 포함되어있을 확률이 큽니다. 그 파일을 나의 절친 사우와 공유하고 싶어 USB에 담아 회사에서 실행을 했을 때, 나는 악성코드 공격자의 충실한 배달의 기수가 되어 나의 회사나 조직에 엄청난 피해를 끼치게 되는 것입니다. 실제로 외부와는 분리된 망을 사용하던 원전을 노렸던 스턱스넷은 USB를 통해 내부로 침입한 것으로 추정하고 있습니다.

 

간단히 생각해서 내가 사업과 일상에서 얼마나 온라인을 이용하는가를 잠깐 되돌아보면 APT공격이 나와 얼마나 관련이 있는지 알 수 있습니다. 만약 인터넷을 전혀 사용하지 않고, 내가 속한 조직도 전혀 전산기기 없이 종이와 구두로만 업무를 하는 동시에 사회생활을 전혀 하시지 않는 분이시라면 지금 뒤로가기를 누르셔도 좋습니다. 이 웹페이지에서 글을 보고 있는 당신은 아닙니다. 

 

이렇게 APT 공격은 나와는 상관없이 보이지만, 결국 나와 밀접한 관계가 있는 것입니다. 게다가 나의 부주의로 나뿐만 아니라 내 주변 사람들, 내가 속한 조직, 나아가서는 사회의 기반까지 흔드는 결과를 초래할 수도 있습니다. 이런 보안 위협을 방지하기 위해서 개인이 할 수 있는 노력은 아래와 같이 의외로 간단합니다.


1) 백신은 항상 최신 업데이트 유지하고 주기적 검사를 실행합니다: 사용자가 일주일만 백신 업데이트를 안 해도 최대 수백만 개 신/변종 악성코드에 감염될 위험에 노출된다는 점을 명심합시다.
2) 발신인이 불분명하거나 수상한 메일 첨부파일 실행을 자제합니다: 메일의 형식이나 내용을 자세히 살펴보면 무언가 수상쩍은 점을 발견할 수 있는 메일들이 있습니다. 무조건 클릭을 자제하고 신중하게 살펴봐야 합니다.
3) SNS 상에서 단축 URL 클릭 자제 및 신뢰할 수 없는 사이트 방문을 자제합니다.
4) 자신이 근무하는 기업/기관이 고객정보나 중요사안을 다룬다면 특히 조직 내에서는 사적용도의 인터넷 사용을 되도록 자제하여 앞서 언급한 위험을 최소화하는 것도 좋습니다.

 

이렇게 기초적인 보안 노력만으로도 APT 공격을 상당 부분 막아낼 수 있습니다.

해커의 공격 시작점도, 또 그것을 막을 수 있는 것도 여러분입니다.

안랩의 ‘보안 바로 알기 캠페인(Know the Security)’의 세 번째 순서는 "보안제품 및 솔루션만 쓰면 다 된다는 종결론에 관한 내용"으로 풀어가려고 합니다. 보안 바로 알기 캠페인의 각각 내용들은 향후 있을 "안랩 UCC 콘테스트"의 소재로도 이용할 수 있습니다. Ahn

댓글을 달아 주세요

APT를 알면 사이버 테러 이길 해법이 보인다

최근 발생한 3.20 사이버 테러에서 보았듯이 특정 대상을 상대로 핵심 기밀정보를 빼내려는 사이버 위협이 날로 지능화함에 따라 보안의 중요성은 더욱 커지고 있다.

이에 효과적인 대응 방안을 모색하기 위해서 지난 5월 14일 머니투데이와 데일리시큐가  ‘금융보안·개인정보보호 페어’를 열었다. 이 자리에는 안랩을 비롯해 20여 개 보안 전문 업체가 참가해 금융보안과 개인정보보호 관련 최신 제품과 기술을 소개했다. 또한 ‘스마트 융합 시대에 필수적인 개인정보보호와 금융보안’을 주제로 차세대 금융 보안 구축 방법을 비롯해 다양한 보안 사고 예방을 위한 방법을 소개했다.

그 가운데 안랩 마케팅실 윤상인 차장은 ‘다차원 분석을 통한 APT 대응 방안’을 주제로 발표했다. 그는 안랩에서 자체 개발한 다양한 분석 방법으로 보안 위협에 철저히 대응할 해법을 소개했다. 다음은 주요 내용. 

지능적이고 장기적으로 가해지는 APT 공격

최근의 보안 위협은 과거의 것과는 양상이 확연히 달라졌다. 과거에는 단일한 악성코드를 가지고 감염 불특정 다수를 대상으로 PC에 국한된 공격을 했다. 하지만 최근에는 특정 공격 대상을 겨냥해 기존 보안 제품을 우회하고 새로 발견되는 보안취약점을 악용해 모듈화한 악성코드를 생성하고 장기간에 걸쳐 공격 성공 시까지 은닉하는 방법을 사용한다. 이른바 'APT'이다. 

APT(Advanced Persistent Threat)

‘지능형 지속 공격’이라고 하며, 특정 타깃을 노려 지속적인 공격을 하는 것을 말한다. 악성코드를 이용하여 정보 유출뿐 아니라 시스템 파괴를 일으키는 공격이다. 정치적 목적의 사이버 테러, 정보 유출 등 다양한 목표와 방법을 가지고 있다. 일례로 3.20 전산망 마비 사고가 있다. 국내 방송사 및 은행 전산망을 동시에 마비시킨 보안 사고로 32,000여 대의 서버와 PC에서 시스템 장애 현상, 하드 디스크 파괴 현상이 발생하였다.

1~2년 전부터 APT가 언론에서 많이 회자되었지만 실제 APT를 잘 아는 사람이 많지 않다. 2012년 말 ISACA(정보시스템감사통제협회)에서 글로벌하게 1500명의 보안 인력을 대상으로 설문조사를 진행했다. 조사 결과에 따르면 APT를 어느 정도 알고는 있지만, 실제 APT를 어떻게 막을 것인가라는 질문에는 애매한 답변이 대부분이었다고 한다. 

최근 발생한 사고 현황을 보면 2010년 이전까지는 APT 공격의 대상이 주로  정부기관었으나, 구글을 공격한 '오퍼레이션 오로라' 이후 민간까지도 공격이 확장되는 흐름이 있었다. 

APT 공격 배경에는 정치적 목적, 경제적 목적, 군사적 목적이 있는데, 공통적으로 범죄 조직이나 국가 정보기관, 핵티비스트 단체와 같이 막강한 배후 세력이 존재한다. 악성코드를 제작하는 세력은 멀티 엔진 분석 사이트나 언더그라운드 플랫폼 검증을 통해 기존 시그니쳐(signature) 기반 보안 솔루션을 우회하는 신종 악성코드만을 APT 공격에 이용한다. 때문에 방어하기 힘들 수밖에 없다.

APT에 대한 오해와 진실

1. APT 공격은 숙련된 해커만이 가능한가?

NO. 에코시스템처럼 제로도의 취약점을 이용한 악성코드를 사고 팔고하는 블랙마켓이 활성화해 있다. 그렇기 때문에 꼭 숙련된 해커 사이에서만 이뤄지는 게 아니라고 할 수 있다.

2. 알려지지 않은(Unknown) 악성코드가 APT 공격을 일으키는 주범인가?

YES or NO. 주범은 알려지지 않은(Unknown) 악성코드라고 봐도 되지만 기존의 다양한 APT를 분석해보면 알려진(Known) 악성코드와 적절히 조합이 되어서 공격을 했다. 따라서 APT 대응을 위해서는 알려진 악성코드까지도 대응할 수 있는 연계 대응 방안이 필요하다.

3. 기존 보안 솔루션은 알려지지 않은 악성코드를 탐지하고 차단 가능한가?

NO. 기존 시그니쳐 기반 보안 솔루션은 알려지지 않은 악성코드를 탐지하는 데 어려움이 많다.

4. APT 위협은 정부기관 또는 대기업만 타깃으로 하는가?

NO. 보안 취약점을 가진(보안 정책상 허술한) 하위 소규모 기업을 1차 타깃으로 2차 중간 업체, 3차로 그 상위 기관, 최종적으로 상급 기관을 공격하는 것이 최근 APT 공격의 패턴이다.

정부기관, 온라인 뱅킹도 공격 대상

조달청이 운영하는 나라장터 해킹이라고도 알려진 입찰 참여 건설 업체/지자체 PC 해킹 사건이 대표적이다. 정부의 건설 사업 관련해 최저가 입찰을 하는데 모 건설사에서 경쟁사의 입찰 가격을 알아내도록 해커에게 요청한 사건이다. 2007년부터 수십 억원에 달하는 비용을 불법적으로 취득했다. 이는 persistent한 경우는 아니지만 Advanced하고 Targeted한 공격이, 보안이 허술한 하청기관을 뚫는 것이 얼마나 효과적인지 보여주는 사례이다.

온라인 뱅킹 시 파밍 사이트로 접속하게 유도하는 사고도 자주 일어난다.

파밍(Farming)

이용자 PC를 악성코드에 감염시켜 이용자가 인터넷 '즐겨찾기' 또는 포털사이트 검색을 통하여 금융회사 등의 정상적인 홈페이지 주소로 접속하여도 피싱 사이트로 유도되어 범죄 관련자가 금융 거래 정보 등을 몰래 빼가는 수법

일반적으로 사용자의 금융 정보를 가로채기 위해 공격자는 악성코드 감염을 통해 사용자의 호스트(hosts) 파일을 변경하거나, 공격자가 만들어 놓은 서버 IP를 사용자 DNS 서버 IP로 변경하여 정상적인 금융권 사이트 접속 시 공격자가 만들어 놓은 가짜 사이트로 접속하도록 만든다. 그러나 이와 같은 방법은 이미 일반화했기 때문에 대부분의 보안 프로그램은 사용자 시스템의 호스트 파일을 모니터링하여 변경 사실을 사용자에게 알리거나 변경 자체를 방어하기도 한다. 

최근 피해 사례가 증가하는 파밍 사이트로 접속을 시도하는 피해 시스템을 확인한 결과, DNS IP의 변경이나 호스트 파일의 변조가 일어나지 않은 상태에서도 공격자가 만들어 놓은 가짜 사이트로 접속을 시도하는 것을 확인할 수 있었다.

악성코드 다차원 분석이 해법이다  

전통적인 보안 솔루션만으로는 고도로 지능화된 APT를 차단하는 것이 불가능하다. 방화벽(FireWall)은 네트워크 접근 통제로 악성코드 유입을 차단하기 때문에 허용된 주소로 들어오는 악성코드는 차단할 수 없다. 애플리케이션을 통제하는 차세대 방화벽(Next Generation FireWall) 역시 악성코드를 탐지하기 어렵다. 

또한 침입차단시스템(IPS)은 네트워크 기반 툴을 이용해 악성코드 유입을 차단하기 때문에 파일 기반 분석이 필요한 악성코드는 탐지할 수 없다. 악성 URL을 차단하는 유해 사이트 차단 시스템은 허용된 사이트를 거쳐 유입되는 악성코드는 차단할 수 없다. 기존 안티바이러스(AV) 솔루션 역시 알려지지 않은 악성코드는 탐지하기 어렵다.

어떤 과정을 거쳐서 다차원 분석 기술이 나오게 되었을까?

1세대 - 기존의 안티바이러스 제품군

악성코드가 대응센서에 유입이 되면 안랩과 같은 연구기관에 샘플이 전달이 되고 분석이 된 결과에 따라서 악성이라고 판단이 되면 엔진이 업데이트 되는 형식이다

즉, 1세대 시그니쳐 기반 악성코드 대응의 방식에서는 최초의 피해자가 존재해야 한다는게 특징이다. 대응시간도 2-3시간이 걸리므로 현재의 위협이 되고 있는 지능적 공격을 막기에는 역부족이라는 판단이다. 즉 패시브한 방식!

2세대 - 클라우드 기반 악성코드 대응

1세대 방식보다 좀 더 능동적인 방법으로 진화된 것이 많은 글로벌 대응 업체들이 시도를 하고 있는 클라우드 기반 악성코드 대응 방안이다. 클라우드에는 최신의 악성코드 정보가 들어 있게 되고 만약 클라우드 상에 정보가 없을댄 의심 파일을 클라우드 서버로 전송을 하게 되고 클라우드의 백엔드 상에는 다양한 정적 분석엔진 동적 분석엔진 그리고 전문가들의 수동 분석을 통해서

시그니쳐를 자동 또는 반자동으로 추출을 하게 되는 과정을 거치게 되는 것이다.

1세대 시그니쳐 기반 분석에 비해서는 효과적이지만 파일 자체가 유출될 수 있는 보안상의 문제점이 발생할 수 있는 단점이 발생한다.


안랩의 APT 방어 솔루션인 '안랩 트러스와처'

3세대 - 다차원 악성코드 분석 및 대응

1세대와 2세대의 효율성을 유지하면서 언노운(Unknown) 악성코드를 적극적으로 탐지하기 위해서 사용된 방법이다. APT 공격이 순수하게 언노운 악성코드만이 이루어진 공격이 아니기 때문에 최신 악성코드 정보를 가지고 있는 클라우드 또는 시그니쳐 기반의 로컬 데이터베이스를 적극적으로 활용하는 것이 최신의 트렌드이다.

다차원 분석의 핵심은 바로 평판 기반 분석 방법, 행위 기반 분석 방법, URL/IP 탐지, 연관 관계 분석이다. 

평판 기반 분석 방법은 파일 자체가 언제 최초로 유입됐는지, 얼마나 글로벌하게 퍼져 있는지, 혹은 도메인이 언제 등록됐는지 분석하는 것이다. 행위 기반 분석 방법은 분석 머신 자체에서 악성코드를 실행하고 어떤 OS 상의 행위 변화가 일어나는지 분석하는 방법이다. 

URL/IP 탐지 분석 방법은 단순히 특정 IP에 연결이 됐는지, 특정 URL에 접속이 됐는지를 보는 것이 아니라, 특정 IP 또는 URL에 관련된 도메인들이 어떤 개별적인 악성 스코어링을 가지고 있는지 분석하는 것이다. 연관 관계 분석 방법은 A라는 파일을 분석할 때 해당 파일에 관여하는 시스템 파일들 2차 3차 부가적인 연관 파일들까지도 분석하는 것을 말한다.

동적 컨텐츠 분석 엔진(DICA; Dynamic Intelligent Content Analysis)은 문서, 동영상, 스크립트 등 non-PE 악성코드를 탐지하기 위해 최적화된 악성코드 분석 엔진이다. 문서 파일 형태의 알려지지 않은 (Unknown) 애플리케이션 취약점에 대응하기 용이하며 알려진(Known) 취약점을 이용하는 변종 non-PE 악성코드 탐지에 최적화해 있다.

최신 공격 기법 ROP까지 막아내는 '트러스와처'

한편, 최근 들어 해커들이 많이 이용하는 ROP 기술에 주목할 필요가 있다. 

ROP(Return-Oriented Programming) 공격 기법

운영체제(OS) 메모리 상에 존재하는 정상 코드 조각들을 조합해 악의적인 공격 코드를 실행시키는 방법. 최근 APT 공격에 많이 이용된다.

얼마 전 MS사에서 보안 소프트웨어에 대한 컨테스트(BlueHat Prize)를 열었는데, 1~3등 모두 ROP 관련 기술이 들어가 있었다. MS는 이 컨테스트를 개최한 후에 자체 보안 유틸리티에 ROP 방어 기능을 추가하기도 했다. 거대 기업도 주목하는 기술인 만큼 대비가 필요하다. 

안랩의 APT 방어 솔루션인 '안랩 트러스와처(AhnLab TrusWatcher)'(글로벌 제품명 AhnLab MDS)는 ROP 공격 기법을 사용하는 비실행형 악성코드까지 탐지한다. 단순히 탐지에 그치는 것이 아니라 대응까지도 할 수 있는 제품이다. 즉, 탐지된 악성코드를 다운로드한 PC를 찾아 악성코드를 자동/수동 치료한다. 

또한 트러스와처는 다차원 분석(행위 기반 분석, 동적 컨텐츠 분석) 기술로 알려진(Known) 악성코드는 물론 알려지지 않은(Unknown) 악성코드를 모두 탐지하고, 해당 악성코드는 자동 치료/삭제해 실시간 대응이 가능하다. 악성코드 수집-분석-모니터링-대응까지 이어지는 Full Process를 제공하기 때문에 비즈니스 연속성을 도모할 수 있다. 아울러 단일 장비로 다양한 인터넷 프로토콜을 수용하며 비용 효율성이 높다. Ahn



대학생기자 박규영 / 연세대학교 건축학과

                  



댓글을 달아 주세요

기밀 정보 노리는 지능적 APT 잘 막으려면

지난 4월 25일, 서울 JM메리어트 호텔 그랜드볼룸에서 <제 8회 NES 2013-차세대 기업보안 세미나&전시회> 가 열렸다. 올 해 NES 세미나에서는 '지능형 위협과 기업 보안, 안전한 BYOD 환경 구축' 을 주제로 안랩(AhnLab)을 비롯한 많은 IT, 보안 회사들이 급변하는 IT 및 위협 환경에 대응하기 위해 주목해야 할 최신 보안 위협 이슈와 동향, 대응 방안을 논의하였다. 


역시 이번 세미나에서 가장 많이 언급 되었던 것은 'APT(Advanced Persistent Threat, 지능형 지속 공격)' 였을 것이다. 목표로 설정한 기관이나 기업을 오랜 기간에 걸쳐 정보를 수집하고 치밀하게 계획하여 목적을 달성하는 형태의 APT는 근래 발생하는 보안 사고의 핵심이자 화두이다. 이 날 안랩의 정진교 팀장은 이러한 APT 대응과 관련하여 <고도화된 위협 APT 대응을 위한 융복합 보안관제> 라는 주제로 발표를 하였다. 


발표의 내용은 보안 위협의 진화와 현재 대응의 한계, 그리고 컨버전스 보안 관제를 통한 보안 위협 대응 전략이라는 두 가지를 중점적으로 다루었다. 다음은 주요 내용을 정리한 것이다. 


최근 APT 공격 문제가 보안계 최대의 이슈이다. 최근에 발생한 공격들은 한두명의 해커가 공격하는 것이 아니라 강력한 자금력과 조직력을 갖춘 스폰서의 전폭적인 지지를 받으며 치밀하게 계획된 공격을 하고 있다. 당연히 대응도 한두명이 할 수 없고, 개별 솔루션으로 문제를 해결할 수도 없다.


이번 세션의 결론부터 말하자면, 이러한 APT공격을 막기 위해서는 특정한 기술이나 지식의 문제를 다루기 보다는 전반적으로 기업 내에서 가시성을 확보하려는 노력을 해야한다. 또한 기업 내에 존재하는 여러가지 기술, 관리 프로세스들에 대한 전반적인 통제력을 확보해야 한다. 이를 통해 회사에서 어떤 이벤트들이 발생하는지, 회사 시스템에서 들어오고 나가는 정보는 어떤 것들이 있는지 전체적으로 파악할 수 있는 시스템을 구축하는 것이 중요하다. 그리고 이러한 가시성을 확보해주는 보안 시스템이 보안 관제 시스템인 것이다. 



그렇다면 왜 현재 보안 관제 시스템으로는 가시성을 확보할 수 없는가?

2002년과 2012년을 비교해 보면, 안랩에서 관제를 맡고 있는 고객의 숫자는 두 배가 늘었다. 그런데 이벤트의 숫자는 2만배가 늘었다. 시간이 흐를수록 보안 위협이 증가하고 있는 상황이다. 


보안 위협은 외부위협과 내부위협, 컴플라이언스로 구분할 수 있다. 외부위협은 바깥의 해커가 접근하는 위협이고 내부위협은 부주의하거나 악의적인 내부인으로 인해 발생하는 위협이다. 컴플라이언스는 개인정보보호법을 예로 들 수 있는데, 보안과 관련한 법 규제를 말한다. 보안 사고가 이렇게 내부나 외부, 컴플라이언스로 구분되어 발생하면 대응하기도 그만큼 쉽다. 하지만 최근의 APT 공격들은 외부와 내부의 경계가 모호하다. 공격자는 외부에 있는데 공격은 내부에서 일어나기도 하고, 전면전보다는 게릴러성의 성격이 짙다. 개인정보보호라고 하는 부분도 외부로 유출하지 말아야 할 관리 대상이기 때문에 내부통제에 해당하지만, 컴플라이언스 입장에서는 프로세스를 관리해야 하기 때문에 역시 경계가 모호하다. 즉, 보안 관리자의 입장에서는 점점 더 대응하기가 힘들어지는 상황인 것이다.


또한 특정 기관을 노린 악성코드도 증가하고 있다. 내부정보의 유출을 위해서 타겟화 되고 구체적인 목표를 가진 악성코드로 발전하고 있는 추세이다. 이러한 악성코드가 개인과는 관계 없는 일이라고 생각할 수 있지만, 작년에 이러한 부류의 악성코드가 발견된 것만 약 60만 건이다. 어떤 사람이든 부지불식간에 피해를 입을 수 있는 상황인 것이다. 


그리고 사회적 환경의 변화도 고려해야 한다. 2011년 이후로 개인정보 유출과 관련해 큰 사건들이 있었고, 정부에서도 개인정보보호법을 제정해 규제를 강화했지만 보안사고는 그 이후로도 끊임없이 일어났다. 이렇게 보안사고가 반복적으로 일어나게 되면 기존 보안 대책에 대한 신뢰성이 하락한다. 근본적인 변화가 요구되는 상황인 것이다.



근본적인 문제란 무엇인가?

기존 관제 시스템은 각각의 보안 제품으로부터 이벤트를 받아서 이벤트를 처리하는 식이었다. 하지만 APT는 기존 보안 시스템들을 회피하거나 우회하는 새로운 방식의 공격을 하기 때문에 실제적으로 보안 제품이 걸리는 이벤트들이 많지 않다. 게다가 APT는 외부가 아닌 내부쪽에서 문제가 벌어지기 때문에 내부의 엔드 포인트를 보아야 하지만 기존의 관제 시스템들은 네트워크의 경계를 보기 때문에 대응하기가 힘들다. 또한 기업에서 사용하는 보안 제품뿐 아니라 기업 전체의 시스템에 관한 정보도 파악하고 있어야 하는데 현재는 단편적인 정보나 이벤트 탐지 위주로 관제가 이루어지기 때문에 APT 대응이 힘들다. 


임계치 기반의 관제도 한계점이다. 쏟아져 들어오는 정보의 양이 많기 때문에 대부분의 관제 시스템들은 임계치를 두어 그 임계치가 넘는 이벤트만 대응을 한다. 하지만 요즘 공격들은 임계치를 밑도는 수준의 공격에서 사고가 발생하기 때문에 임계치를 기반으로 한 관제 시스템에서 APT를 탐지하는 것은 불가능하다. 


다음은 상관분석이다. 기존 보안 시스템들은 상관분석을 할 수 있는 주기가 길지 않다. 하지만 APT는 상당히 긴 주기를 가지고 발생하는 공격의 형태이기 때문에 상관분석으로는 찾기가 힘들다. 여기서 빅데이터에 관한 문제가 함께 대두된다. 


마지막으로는 내부자로부터 발생하는 문제이다. 내부자가 악의적인 마음을 먹고 정보를 빼돌리게 되면 마땅한 방법이 없는 것이 사실이다. 


3.20 사고와 같은 경우에는 지능화된 공격, 분석할 수 있는 데이터의 부족, 이벤트 탐지 대응방식에 대한 한계, 내부적인 통제가 힘들었다는 요인들이 포함되어 있다.



그렇다면 우리는 어떻게 대응해야 하는가?

우리가 보아야 하는 부분은 이제 단순히 네트워크에 한정되어있지 않다. 내부와 외부를 한꺼번에 관리하고 통제할 수 있어야 한다. 이벤트 중심이 아닌 행위와 정책을 분석하고 시나리오를 기본으로 보안을 바라보아야 한다. 또한 알려지지 않은 공격(Unknown Attack)에 대해 관제 시스템이 어떻게 받아들이도록 할 것인지, 하드웨어 뿐 아니라 내부의 프로세스나 정책에 대해서는 어떻게 파악을 할 것인지도 고려해야 한다.

이러한 대응을 위해서는 3가지 'Every' 를 해야 한다고 말씀 드리고 싶다. 

Everywhere, 내부나 외부의 경계 구분 없이 모든 위협에 대응해야 한다. 

Everything, 단순히 보안 장비만 모니터링 하는 것이 아니라, 시스템 안에서 송수신되는 모든 파일, 트래픽, 관련 로그를 수집하고 모니터링 해야 한다. 또한 네트워크와 관련한 인프라들, 서버 시스템들, 내부 지원에 대한 정보들을 전체적으로 파악해야만 한다.

Everyone, 개인에 대한 부분을 파악해야 한다. 권한있는 사용자, 임원 뿐 아니라 퇴직자까지 모든 사용자의 행위를 수집하고 파악할 수 있어야 한다. 



대응을 하기 위한 시스템을 어떻게 꾸려볼까?

네트워크, 서버와 클라이언트, 그리고 내부 직원과 문서들이 존재한다. 여기서 생성되는 수많은 데이터들을 수집한 뒤, 상관분석을 통하여 외부 위협을 대응하고 내부 통제를 해야한다. 또한 분석한 내용들을 구분하여 대시보드에 올려 통합적인 모니터링을 해야한다. 이를 통해 가시성을 확보하고 문제를 해결할 수 있을 것이다.


안랩은 안랩 보안 프레임워크(AhnLab Security FrameWork)를 통해 컨버전스 통합 보안 관제 시스템을 구현하였다. 시스템 안의 구성요소들을 잘 구축을 해야만 발생하는 이벤트들이 잘 정제되어 수집되고 그래야만 다음 단계로 잘 넘어갈 수 있다. 이러한 컨버전스 통합 관제 시스템이 잘 구축이 되어야 효과적인 보안 솔루션을 도출할 수 있으며 대응을 할 수 있는 선순환적 구조를 가질 수 잇을 것이다. 



컨버전스 통합 보안 관제 체계는 네 가지 구성요소로 이루어져 있다.

컨버전스 통합 보안 관제 체계는 외부 위협 탐지 시스템, 내부 위협 통제 시스템, 통합 관제 시스템 구축, 입체적 대응 체계 및 운영, 지원이라는 네 가지 구성 요소로 이루어져 있다.


외부 위협 탐지 시스템은 새로운 공격에 대해 유연하게 대응할 수 있도록 구축해야 한다. 이를 통해 외부 침해사고에 대한 대응을 강화시킬 수 있다. 내부 위협 통제 시스템은 내부자가 하는 행위가 불법적인 행위인지 아닌지 룰 기반으로 판단할 수 있어야 한다. 또한 쏟아져 나오는 수많은 이벤트들을 한꺼번에 처리하고 인과관계를 이끌어낼 수 있도록 통합 관제 시스템이 탄탄히 구축이 되어 있어야 하는 것은 물론, 이러한 인프라를 관리하고 운영할 수 있는 인력이 있어야 한다.



핵심 요소는 내외부의 모든 로그 수집과 입체적인 상관분석을 통한 통합 모니터링과 대응이다.

관제 시스템을 구축할 때는 양질의 이벤트들이 추출되어야만 대응을 효과적으로 할 수 있기 때문에, 가지고 있던 각각의 시스템들이 잘 갖추어져 있는지를 봐야 한다. 또한 내부의 시스템을 파악하면서 통합된 정보를 수집할 수 있어야 하고, 수집된 정보를 상관분석을 통해 APT 관제나 내부 통제를 실시할 수 있어야 하며, 대시보드를 통해서 현재 상태가 어떠한지 이야기 할 수 있어야 한다.



이벤트 중심에서 시나리오 중심으로!

이제는 시나리오를 중심으로 상관분석을 해야한다. 단편적이었던 과거의 공격과는 다르게, APT는과정이 긴 공격이다. 때문에 공격자가 최초로 보안 시스템에 침입을 하였다 하더라도 그게 끝이 아니라 공격을 업그레이드 하고 또 다시 공격하고 하면서 목적을 달성하기까지 수개월이 걸린다. 따라서 공격 시나리오 중심으로 상관분석을 하여 공격자가 공격의 최종 목표를 달성하지 못하도록 공격의 연결고리를 끊어내는 것이 무엇보다 중요하다. 



내부와 외부의 통합 관제 프로세스는 어떻게 운영할 것인가?

정책, 행위 기반의 상관분석을 통해 관제 시나리오를 제공해야 한다. 룰 분석을 통해 이벤트들을 네트워크에서는 침해 유형별 분류를, 내부 시스템에서는 정책별 분류를 하고 분석할 수 있다. 이러한 결과를 상관분석을 통해 단순히 이벤트에 그치는 것인지, 목적성이 있는 APT 공격의 일부인지 걸러내고, 여기서 APT 대응을 하거나 내부 사용자에 대한 통제로 대응할 수 있다. 가장 중요한 것은 전체적인 것을 파악하고, 어떻게 발전하여 다시 침투할 수 있는지 고려하는 것이다. 



계속 새로워지는 보안 위협에는 어떻게 대처할 것인가?

안랩에서는 스마트 사이트(Smart Sight)를 통해 실시간으로 새로운 악성코드에 대한 위험 정보를 제공하고 있다. 최근의 공격들은 공격이 어떻게 진행되는지 감을 잡기 어렵다. 실시간으로 악성코드를 수집, 분석하고 공격이 어떻게 진행되는지, 공격의 침입 경로는 어디인지, 공격이 어디까지 진행되었는지 파악하기 위한 포렌식 조직도 필요할 것이다. 가장 좋은 것은 대응팀을 내부에 보유하고 있는 것이겠지만, 그렇지 않을 경우에는 정보보호 전문 업체를 통해 보안 관제를 부탁하는 것이 좋다. 또한 제공하고 있는 최신 보안 이슈들을 점검하는 것 또한 필요하다. 



이러한 컨버전스 관제는 제품이 아니라 보안에 대한 방법론이고 보안 컴포넌트들을 통합해서 제공하는 SI이다. 궁극적으로 컨버전스 관제는 그동안 보지 못했던 것들을 모니터링하고, 외부위협에서 내부위협까지 전반적인 가시성을 확보하는 하나의 프로젝트이다. 이것을 통해 IT 자산 및 보안 장비의 활용도를 극대화 할 수 있고, 고도화된 관제를 통해 내부와 외부 위협을 최소화 시킬 수 있으며, 정책 기반 관리로 내부 가시성 확보와 통제력을 강화할 수 있다. Ahn



대학생기자 강정진 / 숙명여대 컴퓨터과학


學而不思則罔思而不學則殆

배우기만 하고 생각하지 않으면 멍청해지고, 생각하기만 하고 배우지 않으면 위태로워진다.





댓글을 달아 주세요

지능적 APT 방어에 필요한 네트워크 포렌식

현장속으로/세미나 2013.03.28 07:00

지능화, 고도화, 복잡화하는 보안 위협에 노출된 기업이 체계적이고 능동적으로 대처할 수 있는 차세대 보안 로드맵을 제시해 주는 'Next Generation Network Security Vision 2013' 세미나가 지난 3월 7일 개최되었다. 이번 12회를 맞은 이번 세미나는 총 16개의 세션을 마련하여 보안 위협에 대해 궁금해 하고있는 세미나 참여자들에게 많은 정보를 제공해 주었다. 



먼저, 세미나의 시작을 알린 것은 정보보안 분야 대표 기업인 안랩의 김홍선 대표. '패러다임 변화와 차세대 보안전략'을 주제로 키노트 스피치를 했다. 



김 대표는 최근 화두인 APT의 특징을 소개했다. 

"IT 대중화로 IT의 정보력이 큰 '파워'를 가짐에 따라 보안 위협도 지능화한다. 대표적인 이슈가 APT 공격이다. 이것은 현재까지의 공격 패턴과는 달리 정규적으로 훈련받은 요원과 막대한 자본 그리고 오랜 시간동안 공을 들여 특정 대상을 공격하는 새로운 보안 위협이다."


이어서 "기존 방화벽, IPS 등의 보안 장비들은 알려진 시그니처를 탐지하기 때문에 알려지지 않은(Unknown) 공격인 'APT 공격'에는 취약 할 수밖에 없다."라고 설명했다. 또한 APT가 이루어지는 주된 공격 경로를 설명하고 IT 보안 산업이 나아갈 방향을 제시했다. 더이상 노동집약적인 방향이 아닌 기술적인 방향으로 나아가 'Unknown' 공격을 살펴봐야 하며, 기업에서도 보안의 중요성을 인식하고 계속 정보를 얻는 것이 중요하다고 강조했다.


고도의 위협 대응 위한 네트워크 포렌식 


오후 주제 발표에서는 주남용 한국 EMC 차장의 '고도화된 위협 탐지 및 대응 위한 네트워크' 세션이 ㅣ선을 끌었다. 그는 현존 네트워크 장비가 APT 공격 같은 'Unknown' 공격에 대응하는 데 어떤 한계가 있고 그에 따른 피해 양상이 어떤지, 대응 방법은 무엇인지 이야기했다. 

먼저, 현재의 보안 실태는 '99%의 침입이 수일 이내에 피해를 일으키고, 이 중 85%가 수주 이내에 발견되는 형태'라고 설명했다. 이어서 지금의 보안은 보안 침입이 일어난 후 뒷북 치듯 조치하는 것이라고 비판했다. 


또한 "현재의 네트워크 장비들은 'Attack Free Time' 즉, 공격자가 침입한 후 정보를 탈취할 때까지 시간을 너무 많이 허용한다"라며 전통적인 네트워크 모니터링의 한계를 지적했다. 이어서 지금까지의 네트워크 포렌식과는 다른 '네트워크 포렌식의 새로운 정의'를 설명했다. 즉, 기존 시그니처만을 탐지하는 방법으로는 시그니처에 걸리지 않는 새로운 방법으로 위협해오는 공격자에 무방비 상태가 된다는 것이다.

'Unknown' 공격에 효과적으로 대응하려면 '이상 트래픽'만 저장하던 현행과는 달리 '모든 트래픽'을 저장하고 이를 처리할 수 있는 고속 검색 환경을 구축할 필요가 있다고 밝혔다. 아울러 패킷 기반 분석보다는 세션 기반의 분석을 중심으로 하고, 인바운드(InBound) 트래픽 보안과 함께 아웃바운드(OutBound) 트래픽 보안도 강화해야 하며, 통합 로그 관리의 연계 운영이 필요하다고 제언했다. 


또한, 보안담당자는 보안 침입이 발생했을 때 '선조치 후보고'하는 게 효과적이라며, '보안 위협에 가장 효과적이고도 분명한 방비책은 정보보호 인력 양성'이라고  강조했다. Ahn


           




대학생기자 유희만 / 수원대 컴퓨터학과

The achievement of one goal should be the starting point of another.
(목표의 성취는 또 다른 목표의 출발점이 되어야 한다.)
- 알렉산더 그레이엄 벨 -

현재에 안주하지 않고 항상 색다른! 목표를 향해!                  


댓글을 달아 주세요

CEO 진단, 최신 APT 공격 어떻게 막을까

현장속으로/세미나 2013.03.25 07:00

지난 3월 7일 코엑스 인터컨티넨탈호텔 하모니볼룸에서 <12th Next Generation Network Security Vision 2013 세미나>가 열렸다. 이날 열린 세미나에는 국내외 보안 업체들이 다수 참가해 세미나 발표 및 전시를 했다. 오전에는 안랩(AhnLab), 넷맨(NetMan), 팔로알토(Paloalto)가 차세대 보안 로드맵을 제시하고 앞으로의 효율적인 보안 대책을 발표했다. 안랩 김홍선 대표는 ‘보안 패러다임의 변화 및 차세대 보안 전략’이라는 주제로 세미나를 시작했다. 다음은 주요 내용.

현재 한 개인이 쓰는 디바이스는 과거에 비해 많아졌다. 또한 IT 대중화로 인해 사용자는 디바이스가 사용자 중심으로 좀더 편리하고 안정성 있게 운영되기를 원한다. 만약 이런 사용자의 욕구를 충족시키지 않는다면 사용자는 그 제품을 사용하지 않게 된다. 단순히 제품(Product)으로 보는 것이 아니라 새로운 형태로 비즈니스 형태로 봐야 한다”며 대중의 관점에서 살펴보는 필요성을 역설했다.

최근 보안 업계 트렌드도 바뀌고 있다. 과거에는 패시브한 방식으로 백신과 IPS과 같이 알려진 외부 공격에 대비하고 방어했다. 하지만 최근에는 APT(Advanced Persistent Threat)라는 알려지지 않은 공격에 대해 개인뿐 아니라 기업까지 공격당하고 있다.

APT는 알려지지 않은 방식으로 공격을 하기 때문에 기존 방식으로는 막기 어렵다. APT 공격은 이전과 달리 굉장히 치명적이기 때문에 지능적으로 막아야 한다.

보안 위협의 변화 또한 주시할 필요가 있다. 현재 글로벌 조직 범죄가 일어나고 있으며 해킹 도구의 브랜드화가 일어나 일반인도 어렵지 않게 사용 가능하게 됐다. 최근의 공격은 악성코드를 통해 이뤄지고 있다. 요즘 모든 디바이스가 네트워크로 연결돼 다양한 루트로 악성코드가 들어온다. 매일 약 15만 개의 악성코드가 발생하고, 악성코드의 라이프 사이클도 줄어들었다. 악성코드는 특정 기업/기관을 겨냥해 지능적으로 이루어지는 APT 공격과 연계돼있기 때문에 각 기업은 주의해야 한다.

알려지지 않은 방식으로 은밀하게 공격하는 APT

뉴욕타임즈는 지난 2월 중국 해커로부터 여러 기밀 정보가 유출되는 APT 공격을 받았다. 더 놀라운 것은 그 사실을 넉 달 이상 탐지하지 못한 것이었다. 뉴욕타임즈 외에도 워싱턴포스트, EMC 등 주요 기업이 공격당했다. 과거 APT 공격의 주된 목적은 정부 및 군사 기밀 정보 탈취였다. 그러나 최근에는 금전적 이득을 취하고자 개인 정보나 기업의 기밀 정보 유출을 목적으로 한다.

과거 APT는 단일한 형태로 하나의 PC를 공격했지만, 최근 APT는 모듈화한 악성코드로 공격한다. 또한 장기간에 걸쳐서 디바이스에 은닉해있기 때문에 APT 공격을 받았는지 탐지하기가 어렵다. APT 공격은 한 PC에 머물지 않고 공격 대상 PC에 도달하기 위해 여러 PC의 취약점에 전이돼 공격한다. 적어도 6개월 정도의 로그를 파악하고 분석해야 공격의 시발점을 이해할 수 있다.

네트워크 보안 장비는 특정 임계치를 가지고 악성코드를 통제한다. 그러나 APT는 임계치 이하의 트래픽으로 공격하기 때문에 기존 장비로는 탐지하기가 어려워졌다.

APT 공격은 정상적인 루트로 공격하기 때문에 예측하기가 어렵다. 특히 공격 대상이 속한 국가에서 사용빈도가 높은 소프트웨어의 취약점을 이용한다. 예를 들어 해당 지역에서 신뢰를 받는 소프트웨어는 사용자가 아무 의심 없이 실행하기 때문에 보안에 취약할 수 있다. 최근에는 보안이 취약한 업데이트 서버를 장악해 보안 패치를 받을 경우 역으로 결국 APT 공격을 받기도 한다. 정상적인 루트로 공격하기 때문에 APT 공격을 포착하기란 어렵다. 

따라서 이런 특성에 최적화한 솔루션이 필요하다. 안랩의 APT 방어 솔루션 '트러스와처'가 대표적이다. 트러스와처는 클라우드 기반 분석 엔진, 행위 기반 분석 엔진, 동적 콘텐츠 분석 엔진(DICA Engine, Dynamic Intelligent Contents Analysis Engine) 등 세 가지 엔진으로 다차원 악성코드 분석/탐지 기능을 제공한다. 메모리 보호 기능을 우회하는 ROP 공격을 포착해내는 기술도 탑재했다. 이는 최근 급증하는 제로데이 공격도 놓치지 않고 감지하는 세계적으로도 앞선 기술이다. 이러한 기술의 우수성을 인정 받아 세계적 권위의 정보보안 어워드인 ‘인포 시큐리티 글로벌 엑설런스 어워드’에서 ‘신제품 출시(New product launch)’ 부문 동상을 수상하기도 했다. 

 

방어자 아닌 공격자 관점에서 보아야 

앞으로 정보보안의 지향점을 세 가지로 볼 수 있다.

첫째는 지능성. 네트워크뿐 아니라 웹, 애플리케이션이 어떻게 맞물려 돌아가는지 알아야 한다. 정보의 라이프 사이클을, 무엇보다 공격 행위를 보고 분석하고 다음 활동이 없는지 끊임없이 살펴봐야 한다. 모든 것을 당연하다고 넘기는 것이 아니라 과거의 이력까지 함께 보는 관점이 필요하다.

둘째는 실효성. 악성코드를 탐지하는 안티바이러스 소프트웨어에만 의존하지는 말아야 한다. 여러 계층에서 복합적으로 보는 관점이 필요하다. 실시간 감시뿐 아니라 사후 분석까지 완벽히 해야 한다.

셋째는 최적화. 앞으로 네트워크 트래픽이 급증할 것에 대비해 네트워크 보안 솔루션이 안정적으로 운영될 수 있는지 점검해야 한다. Ahn

 

대학생기자 김수민 / 아주대 전자공학부 


댓글을 달아 주세요