실시간 뉴스



[유성민]APT 공격 앞에서는 모두 뚫리는 보안


IT 기술 발달과 보급 확산으로 전세계가 IT로 연결되고 있다. 그리고 그만큼 IT의 영향력이 커지고 있다. 즉 IT를 지배할 수 있는 사람이 세계의 지배력을 지니게 된다. 구글이 IT의 일부분인 포털사이트를 전세계적으로 독점하고 있기 때문에 지니는 영향력이 큰 것이 이를 보여준다.

과거의 사이버공격은 그리 대단하지 않았고, 컴퓨터를 고장내는 수준에 그쳤다. 바이러스 혹은 해킹 역시 사람을 골탕 먹이기 위한 목적에 그치는 경우가 많았다. 그러나 지금은 다르다. 사이버 공격이 치밀해지고 있다. 대표적인 것이 APT (Advanced Persistent Threats)다.

APT 공격은 마치 '암’과 같다. APT가 심은 파일이 해당 PC를 공격하면 증상이 바로 나타나지 않는다. 마치 암과 같이 잠복해 있다가 감염PC가 중요한 역할을 하는 것이 발견될 때, 정보를 유출하는 등 악영향을 미친다. 또는 감염PC에 잠복해 있다가 파일이 중요 DB에 접근까지 기다렸다가 공격하는 경우도 있다. APT 공격은 후자가 대다수다.

APT 공격방식은 치밀하다. APT 공격방식은 크게 6가지(사전조사→Zero-Day 공격→사회공학→은닉→적응→지속) 단계로 이뤄진다. 내 PC에 잠복해 있다가 결정적인 순간에 공격하는 것. 한수원의 보안사고 외에도 국내에서 APT 공격이 여러번 있었다.

APT 공격은 기존의 보안공격과 달리 지능적이고 지속적이라는 특성을 띄고 있다. 또한 공격의 동기가 분명하고 목표 또한 명확하다. 즉 특정기관에 대한 악의적인 목적을 가지고 철저한 계획 아래 해킹공격을 하는 경우가 많다.

2003년 영국의 RBS 은행의 월드페이 시스템 침입사례가 대표적이다. 당시 APT공격은 영국 RBS 은행 시스템의 신용카드 정보를 유출해 복제카드를 만들고 신용카드 한도를 높이는데 사용됐다. 2시간 동안 미국, 러시아, 우크라이나, 에스토니아, 이탈리아, 홍콩, 일본, 캐나다 등 전 세계 49개의 도시를 대상으로 2천100개 기기에서 약 950만 달러가 인출됐다.

사건 확인 결과 해커들은 네트워크에 접속해 암호화한 방화벽을 뚫고 카드번호와 패스워드 알아낸 뒤, 이를 은폐하기 위해 시스템 데이터를 파괴했다. 이 공격으로 서버에 저장돼 있던 150만명의 카드이용자 개인정보와 금융정보, 100만명이 넘는 사람들의 사회보장번호가 유출됐다.

또 다른 사례로는 ‘스턱스넷 사고’가 있는데, 2010년 7월에 이란의 원자력 발전시설을 마비시킨 공격이 발생하였다. 이 사건으로 발전시설의 원심분리기 중 20%가 가동을 중단하였다. 스턱스넷의 공격은 독일의 지멘스사의 산업자동화 제어시스템 SCADA의 소프트웨어를 공격대상으로 하였고 내부망인 SCADA를 공격하기 위해 USB에 감염되도록 하였다.

원자력 발전소 내부에서 다른 시스템으로 유포하기 위해 기존에 알려진 MS08-067 취약점과 함계 패치가 없는 마이크로소프트사의 4개의 제로데이 취약점을 사용하였다. 또한 훔친 디지털 전자인증서로 서명한 컴포넌트를 사용하는 등 상당한 고도공격 기술을 이용하였고 대표적인 APT 고도 공격사례이다.

◆국내에는 APT 공격이 없었나

우리나라에서도 APT 공격이 여러차례 발생했다. 대표적인 사례는 농협 대란으로, 2011년 4월 농협 전산망에 있는 자료가 대규모로 손상돼 서비스가 마비되는 사건이 벌어졌다. 이 사건은 농협 외주업체 직원이 2010년 09월, 커피숍에서 받은 웹하드 무료 다운로드 쿠폰을 이용해 업무용 노트북에서 영화를 다운로드 받다가 해당 노트북이 악성코드에 감염되면서 일어났다.

업무용 노트북에는 7개월 가량 각종 악성코드가 잠복해있으면서 최고위 관리자의 비밀번호 등 각종 중요정보들을 탈취했다. 그 뒤 2011년 4월 1일에 공격명령 파일을 설치 한 뒤 공격명령을 실행해 농협의 전산을 마비시킨 것이다.

SK커뮤니케이션즈 가입자의 개인정보가 유출된 사건에도 APT공격이 이용됐다. 이 사건에는 SK 커뮤니케이션즈의 무료 소프트웨어 업데이트 과정에서 정상 파일을 악성코드로 변경한 뒤 유포하는 방식이 이용됐다. 업데이트 서버를 해킹해 파일에 악성코드를 심어놓은 뒤 파일을 업데이트 할 때 PC들이 감염된 파일을 받도록 한 것.

이외에도 네이버, 싸이월드, 현대캐피탈 등에서 APT 공격 피해를 입었다.

◆더 이상은 뚫리지 않는다. APT 대응에 나서는 기업들

현재까지 APT 공격에 대한 구체적인 대응책은 없다. 그러나 패턴방식, 파일검출 등 다양한 방법등이 제안되고 있기에 조만간 대응기술이 나올 것으로 보인다.

APT 공격에 대비한 보안솔루션 시장규모는 점차 커지고 있다. 가트너 보고서에 따르면 APT 보안 솔루션 시장은 2012년 약 2억 달러에서 2017년 11억7천만 달러로 성장할 것으로 전망된다. 우리나라 APT 보안 솔루션 시장은 2014년 100억원에서 2015년 200억~300억원 규모가 될 것으로 보인다.

국내외 주요 기업들의 APT 보안 솔루션 기술 개발도 활발하다.

파이어아이는 시그니처 기술을 기반으로 탐지하지 못한 공격들을 정확히 탐지, 차단하는 기술인 MPS (Malware Protection System)을 선보였다. 트렌드마이크로는 네트워크 행위를 기반으로 의심스러운 악성코드를 탐지해내는 기법을 통합한 샌드박스 기술을 출시할 예정이다. 안랩은 클라우드 기반의 사전분석 기술을 활용해 APT 공격을 정확하게 탐지할 수 있는 솔루션을 출시할 예정이다.

네트워크 기술이 발달함에 따라 사이버공격 기술은 다양하고 치밀해지고 있다. 현재 기술로는 사이버공격에 대응할 수 없다. 때문에 사이버공격에 대응하기 위해서 보안기술 개발이 지속적으로 이뤄지고, 보안시장 역시 지속적으로 성장할 것으로 예상된다.

유성민

ICT 융합기술 및 보안솔루션 분야를 연구하고 있다. 현재 보안솔루션 회사에서 기획 및 해외사업 업무를 담당하고 있다. 블로그(http://blog.naver.com/dracon123)에서도 열정적으로 활동하고 있으며 IT 칼럼리스트로서 다양한 IT 칼럼들을 연재하고 있다.







alert

댓글 쓰기 제목 [유성민]APT 공격 앞에서는 모두 뚫리는 보안

댓글-

첫 번째 댓글을 작성해 보세요.

로딩중
포토뉴스