APT 대응을 위한 가트너의 제언

현장속으로/세미나 2014.02.14 18:59

작년 10월 23일에 “Stay Confident, We’ve Got Your Back”이라는 주제로 안랩 융합보안전략 컨퍼런스(ISF 2013 : Integrated Security Fair)가 열렸다. 최근 화두가 되고 있는 APT에 대한 안랩의 대응 전략에 대해 김홍선 대표의 키노트 후 이어진 두 번째 키노트에서는 세계적인 시장조사기관 Gartner의 분석가 로렌스 핑그리(Lawrence Pingree)의 발표가 있었다. ‘APT 대응을 위한 차세대 보안 전략(Best Practices for Mitigating Advanced Persistent Threats)’이라는 주제로 APT에 대한 가트너의 제언을 볼 수 있는 키노트였다.




보안 분야에서 문제를 겪는 것에는 크게 두 가지 요인이 있다. 첫번째는 웹, 웹 사이트 등 사용자 이름, 비밀번호 등과 관련된 것이고, 두 번째로는 멀웨어, 특히 최근에는 진화된 멀웨어가 있다. 이번 발표는 웹보다는 멀웨어와 관련하여 발생하는 문제에 대해 주로 언급하였다. 2013년 한 해 동안 방화벽, IPS(Intrusion Prevention Systems, 침입방지시스템), 엔드포인트, 웹 게이트웨이 솔루션 등에 130억 달러가 투자될 것으로 예상되지만, 여전히 해커들은 계속 공격에 성공한다. 보안에 대한 투자는 상당히 많이 이뤄지고 있지만, 여전히 우리는 그 피해를 보고 있다. 한 예로 2009년부터 2013년 사이에 북한의 사이버 공격에 따른 피해가 8600억원으로 추정된다고 한다.

그래서 핑그리는 APT와 관련하여 크게 3가지로 이야기를 하기로 했다. 첫 번째로는 APT란 무엇이고, 왜 전세계적으로 대단한 위협이 되고 있나에 대한 것이다. 두 번째로는 APT에 대응하는 우리의 적절한 전략은 무엇인가 라는 점이다. 마지막으로 세 번째로는 APT에 대응하는 시나리오에 대해 언급한다고 하였다.

 

1. APT란 무엇인가. 그리고 왜 전세계적으로 대단한 위협이 되고 있나.

APT는 Advanced Persistent Threat의 약자로, 다음과 같이 정의할 수 있다.

A: 기존의 방어체계를 꿰뚫는다.

P: 침투에 성공할 때까지 끊임없이 시도하고, 침투한 후에도 잠복하여 목적을 달성하고자 한다.

T: 피해를 발생시킨다.

이러한 APT는 제로데이 취약점 등 기존에는 시도되지 않은 새로운 공격 벡터 방식을 이용한다. 보안망 아래에서 숨어 있다가 활동하며, 자신들이 얻고자 하는 목표를 달성할 때까지 지속적으로 공격을 한다. 더구나 그 공격의 주체는 체계화되어 있고, 재정적인 여유가 있는 상황으로 원하는 목표를 위해서 쉽게 물러서지 않는다.


APT는 다음과 같은 속성을 가진다. 첫 번째로 APT는 기존의 시그니처 기반의 보안 솔루션으로는 쉽게 탐지되지 않는다. 특정대상을 공격하기 위해 타깃화 되어 있는 악성코드이다. 두 번째로 오랜 기간 동안 은닉하고 숨어있으며, 스스로 업데이트 되는 지능적인 공격 형태를 가진다. 세 번째로는 공격 초기 단계에 설정한 목표물을 탈취하거나 무력화시키는 공격형태를 가진다. 네 번째로 공격을 위한 정보, 취약점을 수집하기 위해 소셜 미디어를 활용하며, VPN 등을 이용해서 내부에 침투한다.

그런데 APT라는 용어는 과거 미군에서 처음 사용된 용어로 주로 국가적인 차원의 공격에 초점을 맞추는 용어이다. 요즘의 타깃화 된 공격은 금전적인 목적을 위한 범죄 행위가 많다. 그래서 가트너에서는 APT라는 용어 대신 ATA(Advanced Targeted Attack)이라는 용어를 제안했다.


그렇다면 위와 같은 특성을 가지는 ATA는 어떤 목적으로 시도되는지에 대해 생각해 볼 필요가 있다. 먼저 ATA를 시도하는 해커는 이전에 시도되는 공격 때와는 다른 성향을 가지는 해커들이다. 목표 지향적이고, 충분한 자금을 가지고 있고 그 자체의 생태계를 가지고 있어서 당장 얻을 수 있는 것보다는 큰 목표를 가지고 행동한다. 두번째로 산업 스파이 같은 형태가 있다. 기업의 지적 재산권이나 비밀을 탈취하려는 목적을 가지고 계획한다. 또한 정치, 사회 운동가 및 테러 단체의 공격으로 시도되기도 한다. 자신들의 주장을 피력하고 위협을 가하려는 목적을 가진 것이다. 대표적으로 북한 시도로 추정되는 사이버 공격이 그러한 사례로 볼 수 있다. 이 밖에도 원래 APT라는 용어의 기원처럼 국가 차원의 정치, 군사, 경제적 목적으로 공격이 이뤄지는 경우도 있다.


2. APT에 대응하는 우리의 적절한 전략은 무엇일까.

일단 APT, ATA의 위협을 알아보았으니 그것에 대해 어떻게 전략을 세울 것인가에 대한 고민이 필요하다. 먼저 우리의 기업도 ATA의 타겟이 될 가능성이 높은지, 기업이 직면하고 있는 위협을 파악하고 그에 맞는 적절한 대응 전략을 수립할 필요가 있다.


먼저 기업이 중요한 국가적, 사회적 인프라와 연관성이 얼마나 있는지에 대한 파악이 필요하다. 만약 기업의 피해가 국가적 손실로 바로 연결된다면 기업과 국가 모두에 큰 타격이 될 수 있기 때문이다. 대표적으로 에너지 관련 기업이나 교통, 금융기관 같은 사회 인프라와 관련된 국가 기간 산업이 있는데, 피해를 받게 되면 여러 다른 산업에까지 줄줄이 피해를 줄 수 있다. 두번째로는 사업의 연속성 중단에 따라 받게 되는 기업의 타격에 대해서도 파악할 필요가 있다. 만약 잠깐 일이 중단되어도 괜찮다면 상관없지만, 잠깐이라도 일이 중단되어서는 안 되는 기업이라면 위협에 대비할 필요성이 더욱 커진다.

그래서 우리는 기본에 충실할 필요가 있다. 비즈니스 관점에서 ATA의 위협에 대한 인식이 필요하다. 그런데 단순한 악성코드를 막고, 제거하는 것만으로는 ATA에 대한 대응이 부족하다. 그렇기 때문에 우리는 위협에 대한 가시성을 증가시키고, 기업의 책임 범위를 좀 더 확대할 필요가 있다. 만약 그러한 사고에 대응하는 역량이 부족하다면 그것은 ATA에 대응하는 데 큰 걸림돌이 된다.


그렇다면 이러한 ATA에 대응하기 위한 솔루션 시장의 상황을 보자. 이러한 솔루션들은 ATA 대응을 위해 여러가지 서비스를 하고 있다. 네트워크 트래픽 분석, 네트워크 포렌식, 페이로드 분석, 엔드포인트 행위 분석, 엔드포인트 포렌식, 이렇게 크게 5가지가 있다. 하지만 많은 솔루션들은 현재에도 사용되는 웹 게이트웨이, 차세대 방화벽, 엔드포인트 보안 등의 방법을 기반으로 ATA 대응 시장에 진출하고 있다. 그래서 ATA에 대응하는 솔루션은 기존의 엔드포인트/시그니처 기반의 솔루션과 함께 상호보완적으로 작동하고 있다. 이러한 상황을 볼 때 ATA에 대응하기 위한 솔루션 시장은 여러 제품의 기능과 성능 그리고 효과가 비교되기 시작하는 단계에 있다고 볼 수 있다. 시간이 조금 지난 후에는 시장 검증을 통해 ATA 솔루션 기술이 개선될 것으로 보인다.

 

3. APT 대응 시나리오

그럼 이제 APT에 어떻게 대응을 하면 좋을까, 그 시나리오에 대해 알아본다. 기업의 규모에 따라 시나리오는 다르게 적용될 필요가 있다. 아무래도 정부기관이나 대기업일수록 중요한 정보가 상대적으로 많고, 공격을 받으면 그만큼 피해의 규모가 더 커질 수 있다. 그래서 더 철저하게 대비를 할 필요가 있다. 한편 기업의 규모가 작을수록 보안에 투자할 수 있는 여력이 상대적으로 부족하다. 따라서 적은 비용으로 효과적인 대처를 할 수 있도록 선택과 집중이 필요하고, 협력이 더 필요하다.


 


지금까지 이렇게 APT에 대응하는 가트너의 차세대 보안 전략에 대해 크게 3가지로 정리를 해 보았다. 이것을 정리하며 가트너는 다음과 같이 제안한다.


먼저 기업이 직면한 위협 수준과 실질적으로 보안에 대한 필요성이 얼마나 되는지를 파악하는 것이 중요하다. 이것은 즉 주목적이 위협에 대한 파악인지, 위협을 제거하고 그에 대한 흔적을 찾고 싶은 것인지 등 보안에 대한 명확한 목표를 설정한 후에 실질적인 대응이 가능하다는 것이다. 두번째로는 예상되는 공격 형태에 따라 균형 잡힌 ATA 대응 전략을 수립할 필요가 있다. 마지막으로 악성코드를 이용한 타깃 공격에 특화된 솔루션에 대한 검토가 필요하다. 악성코드를 이용한 타깃 공격은 모든 기업이 맞이하고 있는 문제로 기업의 특성, 형태에 따라 중요 자산에 대한 파악, 우선 순위를 정하고, 그에 맞춰서 보안 위협을 예측하고 적절한 솔루션 도입 계획이 필요하다.


그러면 이러한 것을 앞으로 어떻게 실행할 것인가. 지금 당장은 ATA 대응 전략 수립을 위한 전사적인 태스크포스 팀을 꾸리는 것이 좋다. 그리고 90일 이내에 실효성 있는 ATA 대응 전략을 수립하고, 효율적인 ATA 대응 솔루션을 검토하며, PoC(Proof of Concept, 개념 증명) 및 평가를 하는 것이 필요하다. 그리고 향후 1년 동안 ATA 대응 솔루션을 구축하고 대응 현황 분석 및 모니터링이 된다면 앞으로 APT에 대해 적절한 대응을 할 수 있을 것이다.



APT는 기업에게 상당히 큰 보안위협이 될 수 있다. 하지만 많은 기업들이 전통적인 대응 시스템을 가지고 전혀 다른 형태의 공격에 대비하려고 하고 있다. 진화하는 위협을 막기 위해서 우리는 더 진화된 대응 시스템을 가지고 미래를 대비해야 할 것이다.




대학생기자 방기수 / KAIST 항공우주공학전공


지속가능성에 대한 고민을 하고 있습니다.

"우리는 우리가 하는 행동에 의해 우리가 된다." 


gisu.bang@kaist.ac.kr


댓글을 달아 주세요

전문가가 말하는 지능적인 APT에 맞서는 방법

현장속으로/세미나 2013.12.09 18:12

11월 18일부터 19일까지 "제 7회 국제 통합 정보보호 구축전략 컨퍼런스(ISEC 2013)"가 코엑스 컨퍼런스룸에서 열렸다. 이 컨퍼런스를 통하여, 각 분야의 보안 실무자는 사회적 이슈인 정보보호의 최신 트렌드를 공유하고 보안 업체로부터 가이드와 솔루션을 제공받을 수 있다. 

APT공격이 지능화되고 피해가 증가함에 따라 APT 대응의 중요성이 높아지는 가운데 트랙B에서 진행하는 안랩 오상언 차장의 "위기로 다가온 APT, 어떻게 맞설 것인가?"를 들어보았다. 그는 APT솔루션이 APT공격에 어떻게 대응하는지와, 안랩 TrusWatcher(글로벌 제품명 안랩 MDS)에서 이루어지는 수집(Collection), 분석(Analysis), 모니터링(Monitoring), 대응(Response)의 4가지 측면을 설명했다. 다음은 주요 내용.

지난 4년 동안 이슈가 된 DDOS공격(2009,2011,2013), 금융기관 해킹 사고(2011), 개인정보유출(2011,2012), 전산망 마비 (2013), J언론 해킹사고(2012)등의 보안문제 가운데, 악성코드에 관하여 많은 논의가 이루어지고 있다. 그렇기 때문에 APT공격에 대하여 무엇을(What), 어떻게(How), 할(DO) 것인지가 중요하다. 

APT솔루션이 APT에 대응하는 4가지 방법

대부분의 APT솔루션은 파일을 모은 후 분석하고, 모니터링한 후, 악성코드가 발견되면 그것에 대응을 한다. APT솔루션이 처음으로 하는 파일 수집(Collection)은 웹이나 FTP 메일등과 같이 네트워크 유입경로를 지나가는 모든파일을 수집하고, 실행파일인 PE파일과 문서형파일인 Non-PE파일로 구분을 하는 것이다. 분석(Analysis)은 가상머신을 이용하여 행위분석을 하는 것이다.  

안랩 APT솔루션인 은 컨텐츠 분석을 추가적으로 수행한다. 이러한 분석을 통하여 Anti-VM에 어떻게 대응할 것인지 방향을 정하고, 지능적으로 악성코드를 탐지하고, 오탐을 최소화할 수 있어야한다. 모니터링(Monitoring)은 APT솔루션이 가상머신을 채택하고 있기 때문에 악성의 여부를 가시성있게 보여줘야한다. 대응(Response)은 악성코드가 발견되면 디스크를 포맷하거나 Malware를 치료나 삭제를 하는 것이다.

안랩의 TrusWatcher는 APT공격에 탐지 및 대응에 특화한 보안 솔루션으로, 다른 APT솔루션과 마찬가지로 수집, 분석, 모니터링, 대응의 4단계로 APT를 막는다. 

<수집>

실제 인터넷과 내부의 pc간의 통신하는 모든 서비스 프로토콜에 대해서 장비가 기본적으로 인식하고 수집된 파일내에서 PE파일과 NON-PE파일로 구분한다. 대부분 인터넷 프로토콜을 인식하여 파일을 수집할 수 있는 지가 중요하다.

<분석>

안랩 TrusWatcher는 모든 정보를 시그니처 기반으로 탐지한다. 시그니처 방식을 채택하는 이유는  고객사의 PC에 유입되는 파일에 악성코드, 신종악성코드, 변성악성코드가 있을 위험이 있기때문에, 모든 파일을 최대한 빨리 악성과 정상인지를 구분하기 위해서이다. 탐지한 파일 중에서 악성파일도, 정상파일도 아닌 알려지지 않은 파일도 발견된다. 이러한 파일은 가상머신에서 행위 기반으로 탐지를 하게된다. 하지만 가상머신은 고객사의 PC와 동일하게 세팅을 할 수 없으므로 오탐이 발생할 가능성이 있다. 

그렇기 때문에 안랩 TrusWatcher는 행위 기반 탐지와 동시에 평판기반 탐지를 한다. 행위 기반 탐지와 편판 기반 탐지 후, 위협과 잠재적인 위협, 정상으로 분류가 된다. 이에 따라 시그니처 기반의 탐지를 통하여 알려진 악성코드를 필터링더라도 평판기반으로 오탐을 최소화할 수 있다.

안랩 TrusWatcher는 파일이 실행하기 전과 연관 행위 종료 후 사이에서 프로세스, 파일, 네트워크, 레지스트리에 대하여 실시간으로 분석한다. 분석한 정보를 악성인지 여부만 탐지하는 것이 아니라 클라우드, 시그니처, 평판 기반 탐지를 종합적으로 연관 분석하여 실질적으로 오탐을 줄인다. 

하지만 타사는 파일이 시작되는 전과 후의 변화에 따라 악성 여부를 판단한다. 즉, 평판 기반 탐지를 하지 않기 때문에 레지스터나 프로세스의 변화만 보고 악성 여부를 판단하여 오탐이 발생할 가능성이 크지만, 안랩 TrusWatcher는 행위분석 외에 크라우드, 평판분석, IP/URL Filtering, 시그니처 방식의 다차원 분석을 통해 오탐을 최소화한다.

앞의 내용은 정적 지능형 컨텐츠 분석의 내용이다. 그럼 가상머신의 엔진 속에서 동적 지능형 컨텐츠 분석은 어떻게 할까? 파일이 실행되면 exe 파일과 DLL#1, DLL#2, DLL#3의 파일이 생긴다. 정상 파일의 경우 exe에서 DLL#1로 갔다가, 다시 exe에서 DLL#2로 가고, 다시 exe에서 DLL#3으로 탐지 한 후 파일이 열린다. exploit 파일의 경우 exe에서 DLL#1으로 갔다가, 특정 시간 이후에, 메모리의 heap 영역에 shell code를 만든 후 exe에서 DLL#2로, 다시 exe에서 DLL#3으로 가는 정상행위를 하다가 exploit이 발생하면 shell code로 점프를 한다. 안랩은 악성코드 분석을 디버깅 프로그램을 통해 한다. 문서파일이면 컨텐츠파일 분석을 하고, exploit이 발생하면 shell code 영역으로 점프를 하여 탐지하고 분석한다.

ROP gadget이란 악성코드 제작자가 정상적인 코드를 악성 shell code로 재사용하는 것이다. 이러한 ROP를 탐지하는 것이 안랩의 동적 콘텐트 분석 엔진(DICA)이다. DICA는 ROP gadget에 의하여 발생하는 가능한 모든 트리거를 모니터링하여 shell code로 실행하는 메모리 영역을 실시간으로 검사한 후, 메모리 영역의 악성 shell code 여부를 판단한다. 또한 DICA 엔진을 통하여 APT에 활용되는 비실행형 악성코드를 탐지가 가능하다. 요즈음 아래한글,워드, 아래한글같은 비실행형 코드를 통하여 APT공격이 이루어지고 있다. 

안랩 TrusWatcher는 워드파일이 수집되면 DICA 엔진으로 동적 컨텐츠 분석을 수행하고, 그 후 실행파일에 대하여 실시간으로 모니터링하고 평판분석하여 오탐을 최소화한다. 타사는 워드나 pdf 파일에 대하여 탐지가 가능하나, 많이 사용되는 아래한글에 대해서는 정확하게 탐지할 수 없다. 아래한글파일이 들어오면 워드파일이라 인식하고, 워드파일로 분석한다. 그러다보니 아래한글파일의 분석결과가 워드파일로 분석되어 보안담당자에게 혼락을 줄 수 있고, 실행 전과 후의 변화로 악성여부를 판단함으로 오탐이 발생할 가능성이 크다. 

APT에 대응하는 솔루션이 많이 나오다보니, 악성코드 제작자 입장에서는 악성코드를 분석하는 엔진이 악성코드를 인식하게 못하도록 압축, 패킹, 가상머신이나 샌드박스가 우회하도록 하는 기술을 발전시키고 있다. 안랩은 이 부분을 정적분석과 동적분석을 통해 막고 있다. 정적분석의 방법으로 알집같은 압축 포맷을 해제하는 것이 중요한데, 알집의 압축 포맷을 해제하는 기술은 안랩만이 가지고 있다.

<모니터링>

대부분의 APT대응 솔루션들은 악성코드 탐지 분석에 대한 내용을 점수를 메기고 위험도를 평가한다. 고객사가 신종/변종 악성코드인지 알려진 악성코드인지 의심스러운 행위파일인지 알 수 있게 가시성을 확보하여야한다. 가상머신으로 나온 결과만으로 교정을 할 수 없기때문에, 보안담당자가 모든 파일을 훑어봐야해서 업무가 더 늘어날 수 있다. 하지만 안랩의 truswatcher은 레벨을 1부터 10까지 나눠서 레벨 1부터 3은 의심스러운 행위파일, 레벨 4부터 7은 알려진 악성코드, 레벨 8부터 10은 신종,변종 악성코드로 나누어 가시성을 확보한다.

<대응>

안랩 TrusWatcher은 에이전트 방식을 채택하고 있다. 실행 보류 기능이 있어, 정상 판정이 나야 실행이 허용되고, 악성 판정이 나면 실행 홀딩이 유지된다. 이처럼 실제 분석된 정보를 바탕으로 하여 에이전트롤 활용해 악성코드에 대응해야 한다.

이어서 미리 페이스북에 받은 질문에 대한 답변이 이어졌다.

Q1.

A. 이 부분은 안랩뿐만 아니라 모든 APT대응 솔루션 업체들의 숙제이다. 비슷한 경우로, 가상머신기반으로 실제 의심되는 파일을 분석하여 분석한 데이터를 봤을 때, 행위기반으로 본다는 것은 악성행위가 나타날 때마다 악성으로 판단할 수 있고, 연관분석을 한다 해도 분명이 오탐이 발생할 수 있다. IBS 시절에 맞춤화했던 것처럼 APT 대응솔루션도 어느 정도 악성코드에 대한 맞춤 기관이 필요하다. 

APT 대응솔루션 하나만으로 모든 APT공격을 차단할 수는 없다. 그러나 기존에 운영하던 방화벽 로그나 네트워크 패킷 분석 시스템 등과 조화하여 지능형 악성코드 시스템에 대하여 대응하고, 기존보안솔루션과 잘 연동하여 사용하는가가 중요하다. ESM/SIM이나 기타 빅데이터 솔루션과 연동하여 시나리오 베이스로 잘 모니터해야 한다.

Q2.  

A. 이 질문은 네트워크 포렌식 장비와 어떻게 연계를 할 수 있는지에 대한 것이다. APT 대응솔루션은 파일에 대하여 수집을 하고 기본적인 패킷 분석을 하지, full packet 이나 double packet에 대하여 실시간으로 정확한 패킷분석을 하지 못한다. 

패킷분석시스템과 APT 보안 솔루션과 함께 방화벽도 이용하여 APT대응을 해야 한다. APT대응솔루션을 통하여 의심스런 파일의 패킷 조합을 살펴서 파일 분석을 해야 한다. APT대응솔루션이 파일을 가상머신에서 돌리면 대부분의 방화벽은 의심되는 외부 IP와 통신하는 것을 탐지한다. APT대응솔루션으로 부터 나오는 파일에 대한 분석대응과 방화벽의 패킷분석 시스템의 분석로그를 조화시켜 APT에 대한 정확한 공격을 할 수 있다. Ahn

대학생기자 윤현정 / 동덕여대 컴퓨터학과 


댓글을 달아 주세요

어떻게 APT를 없앨 것인가

기술의 발전에 따라 급격히 변하는 IT 환경에서 다양한 기술을 새롭게 활용할 수 있게 되었지만, 그에 따른 보안 위협 역시 증가하고 있다. 그러한 면에서 기업이나 여러 단체에게 가해지는 지능형 지속 위협 (APT: Advanced Persistent Threat)은 단순한 위협으로 끝나지 않고 위기가 될 수 있다. 이에 대해서 지난 10월 23일에 “Stay Confident, We’ve Got Your Back”이라는 주제로 안랩 융합보안전략 컨퍼런스(ISF 2013 : Integrated Security Fair)가 열렸다. 첫 순서로 안랩의 김홍선 대표가 어떻게 지능형 지속 위협을 끝낼 수 있는지에 대한 솔루션을 제시하였다.



우리의 환경은 과거와 많이 달라졌다. 바이러스, 악성코드의 숫자는 급격하게 증가하였고, 2000년대에 만들어진 스마트폰이 현재의 스마트폰과 태블릿으로 이야기되는 모바일 시대를 이루고 있다. 이 기기들은 기계와 의사소통하는 것이 아니라 기술적인 장벽을 없애서 마치 멀리 있는 사람이 가까이 있는 것처럼 만들 수 있는 혁신적인 플랫폼이 되었다. 또한 소셜 네트워크 서비스를 통해 새로운 변화를 일으키고 있다. 과거에 제품을 만들어서 공급하는 산업 혁명의 시스템에서 벗어나 하나의 생태계, 플랫폼이 형성되어 있다. 예를 들어 구글이나 아마존, 애플 등 모두 자신의 플랫폼을 보유하고 있다. 이런 변화를 실현하고 있는 것은 무엇일까? 바로 소프트웨어이다.


이러한 소프트웨어는 크게 3가지 특성을 가지고 있다. 첫번째, 모든 소프트웨어는 사용 친화력이 있어야 한다. 컴퓨터가 워낙 대중화되어 사람들이 불편한 것을 용납하지 않는다. 과거에는 몇 달 동안 배워서 자신의 차례를 기다려야 겨우 사용할 수 있었지만, 지금은 컴퓨터의 성능이 훨씬 좋고, 많은 사람들에게 대중화되어 있다. 그래서 요즘엔 사람들이 받자마자 바로 사용하게 된다. 두번째, 데이터 트래픽이 무척 많아졌다. 환경의 변화에 따라 수많은 기기들이 연결되어 많은 데이터가 모여 엄청난 트래픽을 발생시키고, 클라우드가 형성되고 있다. 그것이 모여 빅데이터의 형태가 되기도 하며, 그것을 어떻게 활용할 것인가에 대한 고민이 생겼다. 세번째, 보안의 문제가 다시 부각된다. 보안이라는 것은 결국 인터넷과 소프트웨어의 취약점에서 발생하게 되기 때문이다.


지금까지 굉장히 많은 보안 사고들이 일어났다. 우리나라 뿐 아니라 선진국도 마찬가지로 많은 공격을 받았다. 점점 복잡해지고 테러, 사기, 절도 등 굉장히 다양하게 나타나고 있다. 게다가 더 많은 사람들이 IT기기를 통해 연결된 상태가 되어 가고 있어서 공개된 취약점이 더 늘어나고 있다. 그에 반해 요즘 해커들은 조직화되어 있고, 지능화되어 있다. 1-2명의 젊은 해커들의 공격으로 끝나는 것이 아니라 나름의 생태계를 가지고 많은 자본과 치밀한 구성으로 지속적으로 공격을 하게 된다. 그래서 우리는 그 위협의 근본적인 실체, 공격의 주체에 대해 좀 더 생각을 해볼 필요가 있다.


 

최근의 사이버 공격은 전부 악성코드로 이루어진다. 서버, 취약한 PC, 스마트폰을 공격해서 웹사이트, 이메일, 사회학적 기법, USB 등 엔드포인트를 가리지 않고 여러 가지 기법을 통해 파고들어 취약점에 대해 공격을 전개해나간다. 그러한 조직은 돈이 많아서 조직화되어 있고, 서둘러서 현금화할 필요가 없어서 작은 것을 추구하지 않고 오래 기다려서 큰 것을 얻으려고 한다. 즉, 기업에서 가장 가치 있는 것들을 노리고 있다. 이러한 조직화된 범죄 그룹들이 여러 목표를 바꿔가면서 공격하고 목표를 설정하면 쉽게 포기하지 않는다.



과거의 위협은 감기 같은 것이라고 볼 수 있었다. 증상도 바로 나타나고 불특정 다수를 대상으로 이뤄졌다. 사람이 독감주사를 맞듯이 처방 역시 백신을 통해서 했다. 해커들은 공격에서 안 풀리면 대상을 바꾸는 경우가 많았다. 그래서 일단 방어하면 큰 문제가 되지 않았다. 하지만 모든 감기에서 벗어날 수 없었다. 새로운 바이러스가 발생하면 바로 잡지 못 했다.

하지만 요즘 나타나는 APT는 암과 같은 존재라고 볼 수 있다. 증상이 바로 나타나지 않고, 잡았다 하더라도 거기서 끝나지 않는다. 악성코드가 하루에 20만개가 넘게 나오는데 그걸 잡아도 다른 것들이 또 나온다. 또한 취약점에 대해 아무리 잘 대비해놓았다고 하더라도 조직 내에 침투에 숨어있다가 취약점이 새로 나타나기를 기다리기도 한다. 6개월~1년을 기다려서 자신들이 원하는 목표를 달성할 때까지 잠복하고 공격을 한다.

 

그렇다면 우리는 왜 이런 보안사고를 겪게 될까. IPS(Intrusion Prevention Systems: 침입방지시스템) 같은 장비로 막으려고 하지만, 한 가지 원인만 있는 것이 아니다. 일단 접속되는 것들이 매우 많고, 모두 연결되어 있고, 사용자 또한 매우 많아져서 로그가 너무 많다. 또한 각각의 성격이 다 달라서 통합해서 보아야 한다. 게다가 APT의 경우 권한을 탈취해서 관리자처럼 행세하기 때문에 진짜 관리자인지 공격자인지 구분이 되지 않는 경우도 있다. 그래서 기존의 방어시스템이 여전히 필요하지만, 그것만으로는 무력해지게 된다.

우리는 사고가 발생했을 때 포렌식을 해보게 된다. 포렌식만 적절히 할 수 있다면 그것을 통해 알려지지 않은 악성코드가 어떻게 거쳐서 왔는지 확인할 수 있다. 하지만 해커는 똑똑해서 안티-포렌식 과정을 통해 흔적을 없애고 전부 삭제해서 없앤다. 그럼 우리는 다시 안티-안티-포렌식을 통해 다시 복구하고, 접속하는 과정을 거친다. 이처럼 현재의 문제는 악성코드 하나의 싸움이 아니라 큰 그림을 보아야 하는 포렌식 중심으로 바뀌었다. 그래서 우리는 패러다임을 바꿔야할 필요가 있다. 

 

대부분의 보안제품들은 수동적인 방식으로 동작되고 있다. 알려진 공격 방법이나 취약점을 공격할 때 시그니처를 기반으로 막고 있다. 이것도 물론 여전히 유효하지만 지금의 해커들은 전 세계 어느 백신도 탐지하지 못하는 새로운 악성코드를 만들어서 특정 조직에 들어온다. 그럼 백신이 아무리 경험적 접근(Heuristic Approach)을 통해 막으려 해도 어느 한 곳에서 비슷한 형태로라도 발견되어야 잡아낼 수 있다. 그래서 우리는 하나하나의 사건보다는 전체의 흐름을 포렌식 관점으로 보고 선제적(Proactive)으로 대응하는 방법을 세워야 한다. 그렇게 하기 위해서는 사람의 노동에 의지할 수 없고, 지능화된 시스템으로 대응이 되어야 한다.



안랩에서는 클라우드 기반의 악성코드 인프라 Ahnlab Smart Defense(ASD)를 만들었다. 여러 디바이스, 소프트웨어에서 실시간으로 커뮤니케이션하는 체제를 갖추고 있다. 먼저 알려진 공격, 알려진 정상파일을 분류하는 걸로 시작하는데 여기서 90%가 걸러진다. 그리고 위협이 탐지되었을 때는 행위를 기반으로 분석하게 되며 로컬에서는 불가능한 클라우드 분석을 통해 IP, C&C(명령 및 제어) 서버 정보 등 여러 정보를 수집한다. 이렇게 로컬에서 불가능한 알려지지 않은 위협의 경우 비율은 굉장히 작지만, 가장 치명적인 부분이다.


 


그래서 안랩에서는 그동안의 서비스 경험과 네트워크 관련 클라우드 기반 시스템을 이용해서 APT 솔루션인 TrusWatcher(해외에서는 MDS(Malware Defense System))를 만들었다. 이 APT솔루션은 크게 4단계로 구성되는데, 김홍선 대표는 이것을 New Horizon of Security라고 언급했다.


먼저 기존의 알려진 위협에 대해 대처한다. 웹, FTP, 이메일, 메신저 등 여러가지 경로로 오는 것들을 검증하게 된다. 어떻게 들어오는지, 악성코드인지 아닌지를 구분하게 되는데 여기서 많은 부분이 걸러지게 된다.

두 번째는 네트워크를 중심으로 한 수직적 보안이다. 수직적으로 들어오고 나가는 파일 중 알려지지 않은 것이 왔을 때 샌드박스(보호된 영역 내에서 프로그램을 동작시키는 것)를 통해 돌려보고 행위 기반으로 탐지하게 된다. 최근에는 최초 공격부터 문서 파일로 위장해서 공격을 하고 있어서 PE(Portable Executable) 파일 뿐만 아니라 문서와 같은 non-PE 파일 모두를 검증하게 된다. 또한 평판 클라우드 기반으로 탐지하여 기존에 알려지지 않은 것에 대해 위험성을 탐지해 낸다.

세 번째로는 내부 네트워크 상에서 대응하는 수평적 보안이다. 수직적 보안이 되어 있다고 해도 내부에 침투할 위협은 여전히 존재한다. 이것에 대응하기 위해 모니터링을 하게 되는데, 단순한 통계만을 보는 것이 아니라 치명적인지 여부와 실제로 공격의 형태인지 아니면 공격을 끌어들이는 유인책인지 등을 분류해서 막게 된다. 네트워크를 통과해서 실행이 됐다고 하더라도 그것을 보류하고(Execution Holding), 만약 암호화된 트래픽이라면 네트워크 장비에서는 볼 수 없는 상태인데, 엔드포인트에서 탐지하여 암호를 해독(Decryption)해서 다시 확인하는 방법으로 검증을 하게 된다.

네 번째로는 위에 언급된 3가지의 방법에 이것을 받쳐주는 보안 서비스이다. 포렌식, 관제 서비스 그리고 보안 컨설팅 등을 통해 APT와 같은 공격에 효과적으로 선제 대응을 할 수 있도록 해준다.



기존에 존재하는 보안 솔루션은 여전히 필요하고 중요하다. 하지만 PC의 숫자는 감소하고 있고 엔드포인트는 다변화하는 등 네트워크 중심의 환경으로 변화하고 있다. 이러한 상황에서 기존의 방어 수단을 유지하면서 네트워크와 에이전트가 함께 다차원적인 분석을 이용하는 것이 중요하다. 또한 수직적인 부분과 수평적인 부분을 동시에 모두 막고, 오히려 선제적인 대응을 하는 것이 APT에 대한 근본적인 대책이 될 수 있을 것이다. 


대학생기자 방기수 / KAIST 항공우주공학전공


지속가능성에 대한 고민을 하고 있습니다.
"우리는 우리가 하는 행동에 의해 우리가 된다." 



gisu.bang@kaist.ac.kr


댓글을 달아 주세요

말도 많고 탈도 많은 APT 공격 어떻게 막을까

현장속으로/세미나 2013.10.25 19:23

10월 22일 서울 양재동 The-K서울호텔에서 데일리시큐 주최로 <2013 공기업·정부산하기관 정보보호 컨퍼런스(PASCON)>가 개최되었다. 정보보호와 개인정보보호 이슈에 대한 이해의 폭을 넓히고 각종 사이버 보안 위협에 적극 대처할 수 있도록 실무자 기술 수준을 높이고 최신 정보보호 솔루션 정보를 공유하는 자리였다


정보보호 담당자개인정보보호 책임자 및 실무자 500명이 참석한 이 컨퍼런스에는 안랩, 소만사, 파수닷컴, 컴트루테크놀로지 등 총 15개의 기업이 참가했다. 이 중 안랩 강양수 부장은 APT 공격 및 방어 전략에 관하여 발표했다.

 

 

강양수 부장은 늦은 시간에 발표한 만큼 지루하지 않게 사례를 들어가며 청중의 이목을 끌며 발표를 하였다. 다음은 주요 내용.

 

 

APT란 다양한 정보기술을 이용해 경제적이거나 정치적인 목적을 위해 지속적으로 특정 대상을 공격하는 행위이다. APT는 아직 보고되지 않은 취약점을 악용하고 오랜 시간에 걸쳐 공격을 한다. 또한, 목적이 달성될 때까지 지속적인 공격을 시도하며, 무작위 공격이 아닌 특정 대상을 목표로 사람이 개입되어서 공격을 한다는 특징이 있다.

 

 

 

위 표는 APT 공격 시 행해지는 절차이다. 내부 PC가 감염었다는 것은 공격자가 PC를 운영할 수 있다는 뜻이며, 이 단계까지 가면 공격자에게 PC의 제어권을 빼앗긴 것이다. 하지만 제어권까지 빼앗기는 순간을 찾기 힘든 것이 현재의 문제점이다.

 

APT의 공격 사례로는 스턱스넷(이란 원자력 발전 시설 해킹), 오로라 사건(모건 스탠리 해킹), 미국 국립 오크리지 연구소 해킹, 나이트 드래곤(글로벌 에너지 기업 해킹)이 있다. 이 사례들은 모두 해외에서 있었던 사례들이다


이 모든 사건은 짧은 기간에 행해진 것이 아니라 오랜 기간에 걸쳐 행해졌고 기밀들이 유출되었다는 공통점이있다. 국내에서 최근 2013.04.05에 건설 분야에서 있었다. 이 해킹의 시작은 2006년에 시작하였지만 아무도 알아채지 못하였다. 공격자는 두 가지의 공격을 했다. 첫째는, 입찰설명회에서 참여하여 명함을 교환하여 정보를 얻었으며 둘째는, 입찰참여 목록을 정리하여 정보를 얻었다.

 

 

공격자들은 위와 같은 실제 문서와 메일을 보내어 열어볼 수밖에 없는 상황을 만들어 수신자가 실제 문서를 받고 안심하게 되지만, 실제로는 문서를 통하여 공격을 하는 경우가 발생하게 된다.


, 다른 방법의 공격이 있다. 정상적인 문서 하나하나에 악성코드를 심어 놓고 분리 되어 있을 때는 악의 적인 행위를 하지 않고 있다 공격자가 정해놓은 악성코드 문서들이 모두 모이면 그 때 악의적인 행위를 하는 것이다.

 

<APT의 일반적인 진행>

 

 

 

<APT 공격을 막는 방법>

 

 

위와 같은 세부항목을 막아야 하는데 Unknown 악성코드에 대처하는 방법이 가장 힘들다공격을 막는 방법 중에 고도로 훈련된 인력이 축적된 노하우로 정밀하게 다음 공격을 추측하는 방법도 있다. 또한, DICA를 이용하여 문서만 전문적으로 살펴보는 엔진을 사용하기도 한다. Ahn

 

 

댓글을 달아 주세요

APT를 알면 사이버 테러 이길 해법이 보인다

최근 발생한 3.20 사이버 테러에서 보았듯이 특정 대상을 상대로 핵심 기밀정보를 빼내려는 사이버 위협이 날로 지능화함에 따라 보안의 중요성은 더욱 커지고 있다.

이에 효과적인 대응 방안을 모색하기 위해서 지난 5월 14일 머니투데이와 데일리시큐가  ‘금융보안·개인정보보호 페어’를 열었다. 이 자리에는 안랩을 비롯해 20여 개 보안 전문 업체가 참가해 금융보안과 개인정보보호 관련 최신 제품과 기술을 소개했다. 또한 ‘스마트 융합 시대에 필수적인 개인정보보호와 금융보안’을 주제로 차세대 금융 보안 구축 방법을 비롯해 다양한 보안 사고 예방을 위한 방법을 소개했다.

그 가운데 안랩 마케팅실 윤상인 차장은 ‘다차원 분석을 통한 APT 대응 방안’을 주제로 발표했다. 그는 안랩에서 자체 개발한 다양한 분석 방법으로 보안 위협에 철저히 대응할 해법을 소개했다. 다음은 주요 내용. 

지능적이고 장기적으로 가해지는 APT 공격

최근의 보안 위협은 과거의 것과는 양상이 확연히 달라졌다. 과거에는 단일한 악성코드를 가지고 감염 불특정 다수를 대상으로 PC에 국한된 공격을 했다. 하지만 최근에는 특정 공격 대상을 겨냥해 기존 보안 제품을 우회하고 새로 발견되는 보안취약점을 악용해 모듈화한 악성코드를 생성하고 장기간에 걸쳐 공격 성공 시까지 은닉하는 방법을 사용한다. 이른바 'APT'이다. 

APT(Advanced Persistent Threat)

‘지능형 지속 공격’이라고 하며, 특정 타깃을 노려 지속적인 공격을 하는 것을 말한다. 악성코드를 이용하여 정보 유출뿐 아니라 시스템 파괴를 일으키는 공격이다. 정치적 목적의 사이버 테러, 정보 유출 등 다양한 목표와 방법을 가지고 있다. 일례로 3.20 전산망 마비 사고가 있다. 국내 방송사 및 은행 전산망을 동시에 마비시킨 보안 사고로 32,000여 대의 서버와 PC에서 시스템 장애 현상, 하드 디스크 파괴 현상이 발생하였다.

1~2년 전부터 APT가 언론에서 많이 회자되었지만 실제 APT를 잘 아는 사람이 많지 않다. 2012년 말 ISACA(정보시스템감사통제협회)에서 글로벌하게 1500명의 보안 인력을 대상으로 설문조사를 진행했다. 조사 결과에 따르면 APT를 어느 정도 알고는 있지만, 실제 APT를 어떻게 막을 것인가라는 질문에는 애매한 답변이 대부분이었다고 한다. 

최근 발생한 사고 현황을 보면 2010년 이전까지는 APT 공격의 대상이 주로  정부기관었으나, 구글을 공격한 '오퍼레이션 오로라' 이후 민간까지도 공격이 확장되는 흐름이 있었다. 

APT 공격 배경에는 정치적 목적, 경제적 목적, 군사적 목적이 있는데, 공통적으로 범죄 조직이나 국가 정보기관, 핵티비스트 단체와 같이 막강한 배후 세력이 존재한다. 악성코드를 제작하는 세력은 멀티 엔진 분석 사이트나 언더그라운드 플랫폼 검증을 통해 기존 시그니쳐(signature) 기반 보안 솔루션을 우회하는 신종 악성코드만을 APT 공격에 이용한다. 때문에 방어하기 힘들 수밖에 없다.

APT에 대한 오해와 진실

1. APT 공격은 숙련된 해커만이 가능한가?

NO. 에코시스템처럼 제로도의 취약점을 이용한 악성코드를 사고 팔고하는 블랙마켓이 활성화해 있다. 그렇기 때문에 꼭 숙련된 해커 사이에서만 이뤄지는 게 아니라고 할 수 있다.

2. 알려지지 않은(Unknown) 악성코드가 APT 공격을 일으키는 주범인가?

YES or NO. 주범은 알려지지 않은(Unknown) 악성코드라고 봐도 되지만 기존의 다양한 APT를 분석해보면 알려진(Known) 악성코드와 적절히 조합이 되어서 공격을 했다. 따라서 APT 대응을 위해서는 알려진 악성코드까지도 대응할 수 있는 연계 대응 방안이 필요하다.

3. 기존 보안 솔루션은 알려지지 않은 악성코드를 탐지하고 차단 가능한가?

NO. 기존 시그니쳐 기반 보안 솔루션은 알려지지 않은 악성코드를 탐지하는 데 어려움이 많다.

4. APT 위협은 정부기관 또는 대기업만 타깃으로 하는가?

NO. 보안 취약점을 가진(보안 정책상 허술한) 하위 소규모 기업을 1차 타깃으로 2차 중간 업체, 3차로 그 상위 기관, 최종적으로 상급 기관을 공격하는 것이 최근 APT 공격의 패턴이다.

정부기관, 온라인 뱅킹도 공격 대상

조달청이 운영하는 나라장터 해킹이라고도 알려진 입찰 참여 건설 업체/지자체 PC 해킹 사건이 대표적이다. 정부의 건설 사업 관련해 최저가 입찰을 하는데 모 건설사에서 경쟁사의 입찰 가격을 알아내도록 해커에게 요청한 사건이다. 2007년부터 수십 억원에 달하는 비용을 불법적으로 취득했다. 이는 persistent한 경우는 아니지만 Advanced하고 Targeted한 공격이, 보안이 허술한 하청기관을 뚫는 것이 얼마나 효과적인지 보여주는 사례이다.

온라인 뱅킹 시 파밍 사이트로 접속하게 유도하는 사고도 자주 일어난다.

파밍(Farming)

이용자 PC를 악성코드에 감염시켜 이용자가 인터넷 '즐겨찾기' 또는 포털사이트 검색을 통하여 금융회사 등의 정상적인 홈페이지 주소로 접속하여도 피싱 사이트로 유도되어 범죄 관련자가 금융 거래 정보 등을 몰래 빼가는 수법

일반적으로 사용자의 금융 정보를 가로채기 위해 공격자는 악성코드 감염을 통해 사용자의 호스트(hosts) 파일을 변경하거나, 공격자가 만들어 놓은 서버 IP를 사용자 DNS 서버 IP로 변경하여 정상적인 금융권 사이트 접속 시 공격자가 만들어 놓은 가짜 사이트로 접속하도록 만든다. 그러나 이와 같은 방법은 이미 일반화했기 때문에 대부분의 보안 프로그램은 사용자 시스템의 호스트 파일을 모니터링하여 변경 사실을 사용자에게 알리거나 변경 자체를 방어하기도 한다. 

최근 피해 사례가 증가하는 파밍 사이트로 접속을 시도하는 피해 시스템을 확인한 결과, DNS IP의 변경이나 호스트 파일의 변조가 일어나지 않은 상태에서도 공격자가 만들어 놓은 가짜 사이트로 접속을 시도하는 것을 확인할 수 있었다.

악성코드 다차원 분석이 해법이다  

전통적인 보안 솔루션만으로는 고도로 지능화된 APT를 차단하는 것이 불가능하다. 방화벽(FireWall)은 네트워크 접근 통제로 악성코드 유입을 차단하기 때문에 허용된 주소로 들어오는 악성코드는 차단할 수 없다. 애플리케이션을 통제하는 차세대 방화벽(Next Generation FireWall) 역시 악성코드를 탐지하기 어렵다. 

또한 침입차단시스템(IPS)은 네트워크 기반 툴을 이용해 악성코드 유입을 차단하기 때문에 파일 기반 분석이 필요한 악성코드는 탐지할 수 없다. 악성 URL을 차단하는 유해 사이트 차단 시스템은 허용된 사이트를 거쳐 유입되는 악성코드는 차단할 수 없다. 기존 안티바이러스(AV) 솔루션 역시 알려지지 않은 악성코드는 탐지하기 어렵다.

어떤 과정을 거쳐서 다차원 분석 기술이 나오게 되었을까?

1세대 - 기존의 안티바이러스 제품군

악성코드가 대응센서에 유입이 되면 안랩과 같은 연구기관에 샘플이 전달이 되고 분석이 된 결과에 따라서 악성이라고 판단이 되면 엔진이 업데이트 되는 형식이다

즉, 1세대 시그니쳐 기반 악성코드 대응의 방식에서는 최초의 피해자가 존재해야 한다는게 특징이다. 대응시간도 2-3시간이 걸리므로 현재의 위협이 되고 있는 지능적 공격을 막기에는 역부족이라는 판단이다. 즉 패시브한 방식!

2세대 - 클라우드 기반 악성코드 대응

1세대 방식보다 좀 더 능동적인 방법으로 진화된 것이 많은 글로벌 대응 업체들이 시도를 하고 있는 클라우드 기반 악성코드 대응 방안이다. 클라우드에는 최신의 악성코드 정보가 들어 있게 되고 만약 클라우드 상에 정보가 없을댄 의심 파일을 클라우드 서버로 전송을 하게 되고 클라우드의 백엔드 상에는 다양한 정적 분석엔진 동적 분석엔진 그리고 전문가들의 수동 분석을 통해서

시그니쳐를 자동 또는 반자동으로 추출을 하게 되는 과정을 거치게 되는 것이다.

1세대 시그니쳐 기반 분석에 비해서는 효과적이지만 파일 자체가 유출될 수 있는 보안상의 문제점이 발생할 수 있는 단점이 발생한다.


안랩의 APT 방어 솔루션인 '안랩 트러스와처'

3세대 - 다차원 악성코드 분석 및 대응

1세대와 2세대의 효율성을 유지하면서 언노운(Unknown) 악성코드를 적극적으로 탐지하기 위해서 사용된 방법이다. APT 공격이 순수하게 언노운 악성코드만이 이루어진 공격이 아니기 때문에 최신 악성코드 정보를 가지고 있는 클라우드 또는 시그니쳐 기반의 로컬 데이터베이스를 적극적으로 활용하는 것이 최신의 트렌드이다.

다차원 분석의 핵심은 바로 평판 기반 분석 방법, 행위 기반 분석 방법, URL/IP 탐지, 연관 관계 분석이다. 

평판 기반 분석 방법은 파일 자체가 언제 최초로 유입됐는지, 얼마나 글로벌하게 퍼져 있는지, 혹은 도메인이 언제 등록됐는지 분석하는 것이다. 행위 기반 분석 방법은 분석 머신 자체에서 악성코드를 실행하고 어떤 OS 상의 행위 변화가 일어나는지 분석하는 방법이다. 

URL/IP 탐지 분석 방법은 단순히 특정 IP에 연결이 됐는지, 특정 URL에 접속이 됐는지를 보는 것이 아니라, 특정 IP 또는 URL에 관련된 도메인들이 어떤 개별적인 악성 스코어링을 가지고 있는지 분석하는 것이다. 연관 관계 분석 방법은 A라는 파일을 분석할 때 해당 파일에 관여하는 시스템 파일들 2차 3차 부가적인 연관 파일들까지도 분석하는 것을 말한다.

동적 컨텐츠 분석 엔진(DICA; Dynamic Intelligent Content Analysis)은 문서, 동영상, 스크립트 등 non-PE 악성코드를 탐지하기 위해 최적화된 악성코드 분석 엔진이다. 문서 파일 형태의 알려지지 않은 (Unknown) 애플리케이션 취약점에 대응하기 용이하며 알려진(Known) 취약점을 이용하는 변종 non-PE 악성코드 탐지에 최적화해 있다.

최신 공격 기법 ROP까지 막아내는 '트러스와처'

한편, 최근 들어 해커들이 많이 이용하는 ROP 기술에 주목할 필요가 있다. 

ROP(Return-Oriented Programming) 공격 기법

운영체제(OS) 메모리 상에 존재하는 정상 코드 조각들을 조합해 악의적인 공격 코드를 실행시키는 방법. 최근 APT 공격에 많이 이용된다.

얼마 전 MS사에서 보안 소프트웨어에 대한 컨테스트(BlueHat Prize)를 열었는데, 1~3등 모두 ROP 관련 기술이 들어가 있었다. MS는 이 컨테스트를 개최한 후에 자체 보안 유틸리티에 ROP 방어 기능을 추가하기도 했다. 거대 기업도 주목하는 기술인 만큼 대비가 필요하다. 

안랩의 APT 방어 솔루션인 '안랩 트러스와처(AhnLab TrusWatcher)'(글로벌 제품명 AhnLab MDS)는 ROP 공격 기법을 사용하는 비실행형 악성코드까지 탐지한다. 단순히 탐지에 그치는 것이 아니라 대응까지도 할 수 있는 제품이다. 즉, 탐지된 악성코드를 다운로드한 PC를 찾아 악성코드를 자동/수동 치료한다. 

또한 트러스와처는 다차원 분석(행위 기반 분석, 동적 컨텐츠 분석) 기술로 알려진(Known) 악성코드는 물론 알려지지 않은(Unknown) 악성코드를 모두 탐지하고, 해당 악성코드는 자동 치료/삭제해 실시간 대응이 가능하다. 악성코드 수집-분석-모니터링-대응까지 이어지는 Full Process를 제공하기 때문에 비즈니스 연속성을 도모할 수 있다. 아울러 단일 장비로 다양한 인터넷 프로토콜을 수용하며 비용 효율성이 높다. Ahn



대학생기자 박규영 / 연세대학교 건축학과

                  



댓글을 달아 주세요

안철수연구소 전망, 2012년 예상 7대 보안 위협

안철수연구소 연구개발 총괄 조시행 전무가 1월 4일 TBS 라디오 <열린아침 송정애입니다>에 출연해 올해 예상되는 보안 위협을 설명했다. 정치적 목적의 해킹이 늘어날 것이라고 전망하는 한편, APT 공격이 왜 위협적인지를 설명했다. 이어서 SNS와 스마트폰을 이용한 신종 해킹이 늘어날 것이라고 전망하고, 계속 새로운 악성코드가 만들어지기 때문에 완벽하다는 말은 항상 과거일 뿐이며, 지속적인 관심과 투자가 필요하다고 강조했다. 다음은 방송 내용 전문.

사회 각 분야의 다양한 현안을 깊이 있게 다뤄보는 두 번째 <열린 인터뷰> 시간입니다. 지난 10.26 서울 시장선거 당시 있었던 선관위 디도스 공격 사태가 정치적인 목적에서 의도적으로 자행된 사실로 드러나 충격을 줬는데요. 올해는 총선과 대선이라는 큰 선거를 두 차례나 치르게 돼서 이러한 정치적, 사회적 목적의 해킹이 늘어날 것이라는 전망이 나오고 있습니다. 그리고 디지털, IT 기기의 사용이 늘면서 컴퓨터에 집중됐던 공격이 스마트기기로까지 확대될 것이라는 얘기들도 나오고 있는데요, 우리나라의 IT 환경 보안과 관련해 안철수연구소가 예측 보고서를 내놨습니다. 자세한 내용 안철수연구소 연구개발 총괄 조시행 전무로부터 직접 들어보겠습니다.
 

송정애: 요즘 디도스 공격과 관련한 논란이 많은데요. 우선 디도스라는 것이 무엇인지부터 좀 설명을 해 주세요. 

조시행: 디도스 공격을 설명할 때 도로를 예를 들면 편한데요. 4차선 도로인데 8차선으로부터 갑자기 차가 몰리게 되면 그 도로는 8차선에서 오는 차들을 소화하지 못해서 차가 멈추는 병목현상이 발생해서 일시적으로 도로의 기능을 상실하게 됩니다. 디도스 공격이란 컴퓨터에서 처리할 수 있는 능력보다 더 많은 양을 요청받았을 때 컴퓨터는 정상적인 요청으로 알고 처리하려 하지만 서비스가 늦어지거나 아예 서비스가 멈추게 됩니다. 그 점을 이용해서 공격하는 방법을 디도스 공격이라고 하고 결국 컴퓨터가 서비스를 못하게 방해하는 공격 형태라고 말씀드릴 수 있겠습니다.  

송정애: 쉽게 말하면 과부하가 걸려서 일을 방해하는 거네요. ‘2012년에 우리를 위협할 보안 위협 베스트 7’이라는 보고서를 내셨는데요, 어떤 배경에서 나온 건가요?  

조시행: 예. 그냥 소설 쓰듯이 만든 것은 아니고요. 과거의 보안위협 동향과 우리나라의 IT 환경 등을 고려해서 매년 만들어지는 보고서인데요. 올해 보고서는 주로 2011년 자료를 기반으로 하게 됩니다. 그래서 2012년에 발생할 수 있는 보안위협을 알려줌으로써 보안의식을 높이고 대응책을 만드는 데 도움을 주고자 함입니다.  

정치적 목적 해킹 늘 것

송정애: 이게 매해 나오는 것이었군요. 올해는 ‘정치적 목적의 해킹이 늘어날 것이다’ 이렇게 예측을 하셨어요. 우리나라뿐만 아니라 세계적으로도 선거가 많은 해이긴 한데 그것이 배경이 되었나요? 
 

조시행: 예. 이러한 예측이 현재 세계적인 추세입니다. 해킹이 금전적인 목적에서 이제는 사회적 혼란, 국가적 이슈 등 정치적인 현상들이 늘고 있습니다. 당연히 우리나라의 특성이 2012년에 반영된 것은 맞습니다. 과거 악성코드가 불특정 다수를 공격하는 추세였는데 2,3년 전부터는 특정 타겟을 공격하는 형태로 옮겨졌죠. 그래서 물론 금전적인일 때문이기도 하지만 공격자가 원하는 목적을 위해서는 불특정타겟보다는 목적에 맞는 특정타겟이 대상일 수밖에 없다는 그런 의미로 보시면 될 것 같습니다.  

송정애: 불특정 다수에서 이제는 목적에 맞는 타깃을 공격해오는 건데요. 안철수연구소에서 낸 7가지 항목 가운데 가장 염려되는 것은 어떤 건가요? 

조시행: 세계적인 추세인데 APT 공격이 지속될 것이라는 점입니다.  

송정애: APT 공격이라는 것이 어떤 건가요? 

조시행: 2011년부터 일반화된 용어로 사용하고 있는데 APT에서 A가 Advanced 약자입니다. 지능적이라는 표현으로 해석하면 될 것 같고요. P는 Persistent로 집요한 지속적이라는 의미로 이해하면 되고, T는 Threat로 위협이라는 표현입니다. 특정한 타겟을 정해서 집요하게 성공할 때까지 장기간에 걸쳐서 공격하는 위협을 APT공격이라고 할 수 있겠고요. 이것이 굉장히 지능적인 방법으로 사회공학적인 모든 수단을 사용하기 때문에 방어하기 매우 어려운 것이 현실입니다. 2011년 우리나라의경우를 보면 농협이나 SK컴즈, 넥슨 사고가 대표적인 공격이라고 할 수 있겠습니다.  

송정애: 고도의 지속적인 공격, 그러면 상당히 지능적인 방법이 동원될 거라고 하셨는데 그러면 혹시 예상되는 유형 같은 것이 있나요?  

조시행: 지금 이것의 목적을 보면 직접적이든 간접적이든 돈과 분명히 연관된 것이라고 볼 수 있겠습니다. 그러다보니까 정보를 얻는 것이 가장 큰 목적이 될 수 있겠는데요. 그 정보가 개인정보일 수도 있고 기업, 기관의 기밀정보일 수도 있고, 산업의 원천기술일 수도 있습니다. 그래서 결국 공격당한 조직이나 기관은 당연히 피해자일 수도 있지만 개인한테도 피해가 될 수 있고, 그 목적이 사회적 혼란, 국가적, 정치적으로 확장되고 있다는 것이 굉장히 큰 위협으로 볼 수 있겠습니다.  

APT 공격이 위협적인 이유

송정애: 방법을 보면 메일로 위장하는 것도 있고, 업데이트 관련 파일을 변조하는 경우도 있고 여러 가지가 있더라고요? 
 

조시행: 네. 지금 사용하는 방법은 모든 방법을 다 쓴다고 보시면 될 것 같아요. 저희들이 예상할 수 있는 것, 또 예상할 수 없는 방법으로 공격하는 게 현재의 추세라고 보시면 될 것 같습니다.  

송정애: 이런 식으로 특정목적의 해킹이다 보니까 올해 같은 경우 정치적 목적의 해킹이 늘 수도 있다는 예측을 내놓으신 건데, 컴퓨터에 집중되어 있던 악성코드가 이제는 스마트폰 쪽으로 확산될 것이라는 얘기도 있던데요?  

조시행: 네. 이제는 스마트폰에서도 금전적인 이득을 얻는 것이 가능해졌습니다. 그래서 2011년 하반기부터 스마트폰을 감염시키는 악성코드들의 숫자가 매우 빠른 속도로 증가하고 있습니다. 더구나 스마트폰의 기능이 PC에서 할 수 있는 모든 것을 할 수 있게 되고 스마트폰의 파급 효과가 PC보다 빠르잖아요. 그래서 피해가 발생할 경우 PC보다 더욱 크기 때문에 당연히 심각해질 것으로 예상하는 게 맞고요. 스마트폰 자체가 공격당하는 것도 심각하지만 좀비PC처럼 스마트폰이 좀비화되어서 디도스 공격이라도 하게 되면 문제는 더 심각해질 것으로 봅니다.  

송정애: 그게 아이폰보다 안드로이드폰이 더 취약하다는 얘기를 들었는데, 사실인가요?  

조시행: 아이폰은 현재 좀 폐쇄적인 것이기 때문에 그런 측면이 있고 안드로이드는 완전히 개방형이거든요. 누구한테도 오픈되어 있기 때문에 장점과 단점이 같이 있다고 보면 될 것 같습니다.  

스마트폰, SNS 노리는 위협

송정애: SNS쪽은 어떻습니까? 요즘 SNS가 워낙에 정보를 빠르게 공유하는 창구인 만큼 악용될 사례도 높을 것 같은데요?
 

조시행: 네. 당연히 맞습니다. 악성코드 제작자와 공격자를 보면 항상 사용자가 가장 많이 사용하는 것을 이용해 왔습니다. 당연히 지금 스마트폰에서 가장 많이 쓰고 있는 것들이 페이스북이나 트위터 이러한 것들이잖아요. 거기서 단문을 써야 하는데 URL 주소를 링크를 이용해서 엉뚱한 곳으로 유도해서 감염시킬 수도 있고 또 정보를 빼내갈 수 있는 피싱 공격도 할 수 있는 거죠. 공격자 입장에서 보면 SNS는 너무 매력적인 감염 매개체가 될 수 있고 공격도구일 수밖에 없습니다.  

송정애: 그럼 일반인도 본의 아니게 악성코드를 유포하는 공범이 될 수도 있겠군요?  

조시행: 네. 그렇습니다. 요즘은 피해자가 공격자가 되는 것이 현재의 추세입니다. 

'보안에 완벽하다'는 어제까지일 뿐

송정애: 그렇다면 끝으로 IT 환경 보안의 중요성에 대해서 누구보다 잘 아시는 분으로서 국민이나 기관에 당부하실 말씀이 있다면 어떤 것이 있을까요? 
 

조시행: 보안이 한 번으로 끝나는 것이 아니라 지속적인 관심과 투자가 필요한 분야거든요. 보통 우리 회사는 완벽하다는 말을 많이 할 텐데 그게 어제까지일 뿐이라는 거죠. 내일은 또 다른 위협이 발견되고 새로운 악성코드가 만들어지기 때문에 완벽하다는 말은 항상 과거일 뿐이라는 겁니다. 미래를 위해서는 지속적인 관심과 투자가 필요하다는 얘기를 좀 하고 싶고요. 또 하나는 보안사고가 있을 때만 많은 사람들이 개인이나 기업이 관심을 보이는데 그게 아니라 평상시에 보안에 대한 인식이 높아져야 할 것이라고 봅니다. 개인부터 조직까지 전반적으로 보안에 대한 공감대가 형성되어야 하고 개인, 기업, 기관이 정보보안을 일상생활 및 업무로 인식해서 그것을 실행하는 문화가 절실히 필요합니다.  

송정애: 보안패치도 제대로 하시고 백신검사도 주기적으로 하시면 도움이 되겠네요. 감사합니다. 오늘 말씀 잘 들었습니다. 지금까지 안철수연구소 연구개발 총괄 조시행 전무였습니다. Ahn

댓글을 달아 주세요