제2의 한수원 사태 멀지 않았다…APT공격, 99.999% 당해

2015-01-13 14:59

APT 공격 시나리오 [자료 = 하우리 ]


아주경제 장윤정 기자 = # 웹 쇼핑몰 V그룹의 관리자 김모씨는 대학 후배로부터 이메일로 이력서를 한 통 받았다. 김 씨는 이메일에 첨부된 이력서 첨부파일을 채용에 반영하려고 PC에 저장한 후 퇴근했지만 그날 밤 웹 서버가 모두 파괴됐다는 긴급 연락을 받았다.
해커가 트위터와 페이스북 등에서 김 씨의 신상명세를 보고 후배를 가장한 가짜 이력서를 보내 악성코드를 심은 이후 서버 관리자 권한을 탈취, 개인정보와 회사 전략기획서 등 자료를 빼낸 후 서버를 파괴시킨 것이다. 

한국수력원자력(한수원)을 공격했던 지능형지속위험(APT) 공격의 가상 시나리오가 재현됐다. APT 공격이 실제로 가능함이 입증된 셈이다.  

13일 보안업체 하우리(대표 김희천)는 30여분 만에 트위터와 페이스북 등을 통해 타깃 회사의 서버관리자 이메일을 알아낸 후 이력서를 위장한 메일을 보내 악성코드를 심고 관리자의 웹 서버 관리권한을 획득, 정보를 빼내는 과정을 시연했다.  

시연은 실제 해커 역할을 담당한 개발자가 트위터와 페이스북에서 범행 대상자를 물색하고 악성코드를 보내는 것으로 시작됐다.  

해커는 화면을 원격으로 제어할 수 있는 프로그램을 보내고 관리자 화면을 맘대로 볼 수 있는 키로깅 공격, 이력서에 적용한 제로데이 문서 취약점, DB서버와 다른 서버를 공격하기 위한 리버스 커넥션(Reverse Connection) 등 온갖 사이버공격 방법을 동원했다.

심지어 관리자가 퇴근한 이후 자유로운 범행을 위해 관리자 컴퓨터에 설치된 웹 캡을 제어하는 매체제어 공격기법까지 사용했다. 

최상명 하우리 침해분석팀 팀장은 “준비한 시나리오처럼 공격이 오차 없이 진행된다면 웬만한 중소기업은 하루 만에도 APT 공격이 가능할 수 있다”고 말했다. 

기존 메일과 SNS 등을 통해 악성코드 등을 무차별로 살포하는 공격과 달리 APT 공격은 범행 대상을 정해놓고 오랫동안 꾸준히 관찰, 철저히 모든 정보를 빼낸다는 점이 다르다.

특히 사회공학적인 방법을 이용해 아는 사람임을 가장하기 때문에 웬만한 주의를 기울이지 않고는 99.999% 당할 수밖에 없다. 실제 한수원 사이버공격 시에도 퇴직자들의 이메일을 활용, 악성코드를 담은 이메일을 보내 내부 직원들이 이를 의심없이 열어 내부에 악성코드가 전파되기도 했다. 

따라서 APT 공격을 방어하기 위한 방안도 한두 가지 솔루션으로는 어렵다. 

최 팀장은 “방화벽, 침입방어장비(IPS), 침입탐지장비(IDS) 등 네트워크 보안장비로 1차 방어를 하고 보안관리솔루션(ESM), 웹 방화벽 등으로 애플리케이션단을 방어한 후 행위기반탐지 솔루션, 데이터유출방지(DLP), 망분리나 서버보안 및 정보가 유출되더라도 피해를 막을 수 있는 DB보안 솔루션 등 다계층 보안을 적용해야한다”고 말했다.

이어 “효과적 방어를 위해 사내 직원의 보안교육과 보안 투자를 위한 CEO의 마인드 전환 등 전 방위적인 방어가 필요하다”고 강조했다.