<충정로칼럼> APT공격, 스마트하게 대응할 수 있다

2013-06-20 13:00

<SGA 시큐리티대응센터 권진현 이사> 지난 3·20 방송·금융사 전산망 마비사고가 발생한지 석 달 가까운 시간이 지났다. 사고 당시, 사태 원인 파악과 고객사 대응을 위해 직원들과 함께 몇 날 며칠 밤을 지새웠던 기억이 아직 선명하다. 사태는 일단락되었지만 3·20 사고가 장기간에 걸친 치밀한 공격유형을 보였던 만큼, 같은 피해가 더는 발생하지 않도록 보안업계 종사자로서 만전을 기하고 있다.

당시만해도 사회적인 파장이 엄청났기 때문에, 정보 보안의 중요성에 대한 사용자들의 인식도 다시금 강화되지 않을까라는 기대감이 있었다. 하지만 시간이 흐른 지금 보안위협에 대한 경각심이 점차 잠재워지고 있는 모습이다. 계속해서 발생하고 있는 개인정보 유출사고 소식 또한 이러한 분위기를 반전시키는데 큰 힘을 발휘하지 못하고 있는 듯하다.

더 안타까운 것은 해킹으로 인해 발생하는 보안사고를 완벽하게 막을 수는 없을 것이라고 생각하는 사람들이 많아지고 있다는 것이다. 실제로 개인정보를 비롯한 기업 및 기관의 각종 정보 자산을 노리는 보안위협이 놀랍도록 고도화 지능화되고 있다. 업계에서는 이러한 위협이 장기간 지속될 경우 ‘지능형지속가능위협’ 이라는 뜻의 APT(Advanced Persistent Threat) 공격이라고 분류하고 있다.

3·20사태를 비롯해 최근에 발생하고 있는 보안사고의 대부분이 주로 신 변종 악성코드를 활용한 전형적인 APT 공격에서 비롯됐다. 이는 특정 목적을 실행하도록 악성코드를 제작해, 사용자 시스템에 지속적으로 침투시키는 방식이며, 만약 이 같은 시도가 성공할 시 해커는 마음대로 사용자 시스템을 교란 또는 위협할 수 있다.

그렇다면 악성코드를 이용한 공격에 대응할 수 있는 방법은 없을까? 먼저 가장 기본적으로는 사용하고 있는 보안제품에서 보내는 보안위협 경고 메시지를 무시하지 말고, 지속적인 업데이트를 진행해야 한다. 나아가 분산화된 수많은 IT장비를 통해 기업 및 기관의 정보 자산을 관리해야 하는 IT보안관리자들은 어떻게 대응하는 것이 효과적일까? APT 공격은 표적 공격이기 때문에 실시간으로 네트워크로 유입되는 트래픽 중 의심스러운 파일을 확인하는 것이 가장 우선이다. 따라서 아래와 같은 대응 시나리오를 추천하고 싶다.

첫째, 의심스러운 파일이 발견되는 즉시, 백신을 관리하는 중앙관리서버로 전송해 백신 제품이 치료할 수 있는지 여부를 확인한다.

둘째, 백신 제품에 악성코드를 탐지하는 시그니처가 없으면 자동으로 패턴 시그니처 제작을 백신 제작사에 통보한다. 그 동안 백신 제품은 의심스러운 악성코드가 작동하지 못하도록 격리시킨다.

셋째, 백신 제작사는 패턴 시그니처를 신속히 제작하여 업데이트하고, 업데이트 된 시그니처를 통해 신종 악성코드를 신속히 치료한다.

위 시나리오의 핵심은 공격 목표기관이 직접 의심스러운 악성코드를 자동 수집하여 신속한 패턴 시그니처 제작 및 피해를 막기 위해 신종 악성코드의 활동을 격리한다는 점이라고 할 수 있다. 또한, 백신 제작사는 거의 실시간으로 신종 악성코드를 수집하여 보다 빨리 대응할 수 있다는 장점도 있다.

이처럼 APT 공격의 특징을 파악하여 여러 보안제품들을 유기적으로 활용해나간다면 이전에 발견되지 않은 고도화된 보안위협이라 할지라도 충분히 대응해나갈 수 있다. 보안 사고는 막을 수 없는 것 아니냐는 안이한 생각은 버리고 좀 더 스마트한 대응체계를 통해 APT공격을 비롯한 각종 보안위협을 적극적으로 방어해나가는 것이 필요한 시기다.