[APT 전격해부 2회] APT, 공격이 아닌 공격자를 막아야 한다
2014-10-23 14:30
아주경제 장윤정 기자 = 지난해 3월 20일, 대한민국의 주요 언론과 기업의 전산망 마비와 다수의 컴퓨터가 악성코드에 감염됐던 3·20 대란은 현재까지 누가 어떤 목적을 가지고 어떻게 침해를 했는지는 확실치 않다. 북한으로 추정은 되지만 APT 공격의 특성상 누가 어디에 무엇때문에 공격을 감행했는지 밝혀내기 힘들다.
일반적으로 공격자들의 공격 기법을 단순히 보안 기술을 통해서 완벽히 막는 것이 불가능 하다는 것이 정설이다. 침해 사고 시 내 외부의 전문가와 함께 침해 대응을 하더라도 수개월 뒤 유사한 공격에 또다시 침해를 당하는 경우들이 많다.
APT 공격을 효과적으로 방어하기 위해 보안전문가들은 공격 자체가 아닌 공격의 주체, 공격자를 막아야한다고 조언한다. 본지와 파이어아이는 공동으로 APT 공격자를 막을 최적의 방법은 무엇인지 알아본다.
제 1회 APT가 뭐에요?
제 2회 공격이 아닌 공격자를 막아야한다
제 3회 악성코드 막으면 APT가 막힐까요?
APT 공격은 일반적으로 생각하는 것보다 훨씬 큰 규모의 조직이 배후에 있기 마련이다. APT 공격을 받았을 때, 단순히 머리가 비상한 해커의 모습을 떠올리는 것은 오산일 수 있다. 공격자는 은밀하고 어두운 곳에서 오랜 시간 동안 공을 들이며 타깃의 정보를 갈취하기 위한 준비를 진행하고 있다.
특히 APT 공격을 강행하는 사이버 공격자의 경우, 전략적 목표를 반영한 명확한 목적을 갖고 있어 조직화된 그룹이 배후에 있을 가능성이 크다. 흥미로운 것은 이러한 그룹이 각 국가별로 다른 차이를 보이고 있다는 것이다.
파이어아이가 올해 1월에 발표한 'World War C : 오늘날의 지능형 사이버 공격 배후 국가들의 동기 이해' 보고서에 따르면, 관료적으로 조직화된 대규모 해커의 발원지인 아태지역의 공격자 그룹은 많은 목표와 표적에 대해 빈도가 높은 무차별 공격을 시도하는 편이다. 이는 마치 인해전술을 구사했던 과거 중국 군대의 모습과 흡사하다는 평가다. 러시아와 동유럽 지역은 기술적으로 진보돼 있어 탐지활동을 회피하는 능력이 매우 뛰어나다.
중동의 해커들은 강한 활동성을 무기로 기발함과 속임수를 통해 사회공학적인 방법을 동원, 사용자의 컴퓨터를 손상시킨다. 미국의 사이버 공격 캠페인은 지금까지 가장 복잡하고 공격 목표가 분명한 정밀 공학적인 측면이 강하다.
그렇다면 다양한 특성을 지닌 해커 그룹의 APT 공격을 효율적으로 막기 위해선 어떠한 준비가 필요할까?
우선 단순히 일회성 공격을 막으려고 하는 것이 아닌 사전에 미리 공격을 방어할 수 있고 똑같은 피해를 당하지 않도록 그 원인을 정확히 밝혀낼 수 있어야 한다. 공격자 추적을 통해 공격 자체보다는 누가 어떤 동기를 갖고 어떤 식으로 공격을 했는지 파악할 수 있을 때 보안 성공률은 매우 높아질 것이다.
보안 솔루션 역시 공격자를 파악하기 위해 그 형태를 발전시키고 있으며, 각종 사이버 공격을 식별하기 위한 위협 데이터와 공격행위에 대한 동기 및 전략을 밝혀내기 위해 진화하고 있는 추세다. 파이어아이도 특정 APT 공격 그룹에 대한 추격을 지속하고 있는 글로벌 침해 대응 전문가 그룹인 맨디언트의 인텔리전스를 전 세계 파이어아이 장비에 반영해 실시간 위협을 방어한다.
이진원 파이어아이 수석 컨설턴트는 “중요하고 노출되지 말아야 할 정보일수록 APT 공격의 타깃이 되기 쉽다. 특히, 공격자를 파악하는 것은 국가 안보, 주요 산업기반 시설 기업의 가장 중요한 지적 재산을 지켜내기 위해 반드시 확보해야 할 보안체계 중 하나”라고 강조했다.
일반적으로 공격자들의 공격 기법을 단순히 보안 기술을 통해서 완벽히 막는 것이 불가능 하다는 것이 정설이다. 침해 사고 시 내 외부의 전문가와 함께 침해 대응을 하더라도 수개월 뒤 유사한 공격에 또다시 침해를 당하는 경우들이 많다.
APT 공격을 효과적으로 방어하기 위해 보안전문가들은 공격 자체가 아닌 공격의 주체, 공격자를 막아야한다고 조언한다. 본지와 파이어아이는 공동으로 APT 공격자를 막을 최적의 방법은 무엇인지 알아본다.
제 1회 APT가 뭐에요?
제 3회 악성코드 막으면 APT가 막힐까요?
APT 공격은 일반적으로 생각하는 것보다 훨씬 큰 규모의 조직이 배후에 있기 마련이다. APT 공격을 받았을 때, 단순히 머리가 비상한 해커의 모습을 떠올리는 것은 오산일 수 있다. 공격자는 은밀하고 어두운 곳에서 오랜 시간 동안 공을 들이며 타깃의 정보를 갈취하기 위한 준비를 진행하고 있다.
특히 APT 공격을 강행하는 사이버 공격자의 경우, 전략적 목표를 반영한 명확한 목적을 갖고 있어 조직화된 그룹이 배후에 있을 가능성이 크다. 흥미로운 것은 이러한 그룹이 각 국가별로 다른 차이를 보이고 있다는 것이다.
파이어아이가 올해 1월에 발표한 'World War C : 오늘날의 지능형 사이버 공격 배후 국가들의 동기 이해' 보고서에 따르면, 관료적으로 조직화된 대규모 해커의 발원지인 아태지역의 공격자 그룹은 많은 목표와 표적에 대해 빈도가 높은 무차별 공격을 시도하는 편이다. 이는 마치 인해전술을 구사했던 과거 중국 군대의 모습과 흡사하다는 평가다. 러시아와 동유럽 지역은 기술적으로 진보돼 있어 탐지활동을 회피하는 능력이 매우 뛰어나다.
중동의 해커들은 강한 활동성을 무기로 기발함과 속임수를 통해 사회공학적인 방법을 동원, 사용자의 컴퓨터를 손상시킨다. 미국의 사이버 공격 캠페인은 지금까지 가장 복잡하고 공격 목표가 분명한 정밀 공학적인 측면이 강하다.
그렇다면 다양한 특성을 지닌 해커 그룹의 APT 공격을 효율적으로 막기 위해선 어떠한 준비가 필요할까?
우선 단순히 일회성 공격을 막으려고 하는 것이 아닌 사전에 미리 공격을 방어할 수 있고 똑같은 피해를 당하지 않도록 그 원인을 정확히 밝혀낼 수 있어야 한다. 공격자 추적을 통해 공격 자체보다는 누가 어떤 동기를 갖고 어떤 식으로 공격을 했는지 파악할 수 있을 때 보안 성공률은 매우 높아질 것이다.
보안 솔루션 역시 공격자를 파악하기 위해 그 형태를 발전시키고 있으며, 각종 사이버 공격을 식별하기 위한 위협 데이터와 공격행위에 대한 동기 및 전략을 밝혀내기 위해 진화하고 있는 추세다. 파이어아이도 특정 APT 공격 그룹에 대한 추격을 지속하고 있는 글로벌 침해 대응 전문가 그룹인 맨디언트의 인텔리전스를 전 세계 파이어아이 장비에 반영해 실시간 위협을 방어한다.
이진원 파이어아이 수석 컨설턴트는 “중요하고 노출되지 말아야 할 정보일수록 APT 공격의 타깃이 되기 쉽다. 특히, 공격자를 파악하는 것은 국가 안보, 주요 산업기반 시설 기업의 가장 중요한 지적 재산을 지켜내기 위해 반드시 확보해야 할 보안체계 중 하나”라고 강조했다.