APT는 공격자가 악성코드를 심은 이메일을 보내 사용자가 열도록 하는 방식으로 PC를 감염시킨다. 감염된 좀비 PC가 증가하면서 서버가 파괴되도록 만들고, 내부 시스템에 잠복한 악성코드들이 데이터베이스 정보를 빼내는 공격이다.
언제, 어디서 공격받는지도 모른다. 공격을 받았다는 사실조차 인지하지 못하기도 해 더욱 위협적이다.
그러나 조직 내 한사람만 감염되도 전체를 감염시킬 수 있고 감염대상자가 고위급일 경우 기밀 정보가 누출될 수도 있다.
대한민국을 뒤흔드는 소리없는 위협 APT 공격을 효과적으로 막을 방법은 없을까? 본지와 APT전문기업 파이어아이는 공동으로 APT의 A부터 Z까지 전격해부해본다.
제 1회 APT가 뭐에요?
제 2회 공격이 아닌 공격자를 막아야한다
제 3회 악성코드 막으면 APT가 막힐까요?
인터넷 사용률이 보편화 될수록, 개인이나 기업의 정보는 외부로 유출될 수 있는 위험에 직면하게 된다. 정보를 노리는 해커들도 해킹 방법을 점점 진화시키고 있으며, APT와 같은 다변화된 공격 기법을 통해 개인과 기업에 커다란 위협이 되고 있다.
그렇다면, 각종 보안 사고 소식에 반복적으로 언급되는 APT란 무엇인가?
이 용어에 대해서는 전문가들 사이에서도 약간의 견해 차이가 있지만, 공통적으로 인정하는 부분을 살펴보면 '특정한 목적을 가지고, 특정한 목표(타깃)에 대해서, 장시간에 걸쳐, 대규모의 후원을 받는 체계적인 집단에 의해서 발생하는 새로운 형태의 보안 위협'으로 설명할 수 있다.
APT에 대한 정의에서 핵심적인 부분을 꼽아보자면 '특정한 목적'과 '목표'가 APT의 성격과 위험도를 알려주는 가장 중요한 단어다. 보통 APT라고 불리는 공격의 경우, 국가 혹은 그에 준하는 규모의 체계를 갖춘 조직에 의해서 발생하는 경우가 많기 때문에, 일반인들에게도 익숙한 DDos(분선서비스거부 공격)공격보다 훨씬 더 까다롭고 피해 규모가 크다.
체계적인 APT 공격을 수행하는 조직의 정체와 활동을 사전에 탐지하기 위해서는 보안 업체의 역할이 무엇보다 중요하다.
전문가들은 가상 머신의 개념을 통해 차세대 해킹 공격에 대응할 수 있다고 생각한다. 가상 머신에 대해 보다 쉽게 설명하자면, 과거 왕들이 음식을 먹기 전 독이 들어 있는지 알아보기 위해 음식을 먼저 먹어보던 '기미상궁'에 비유할 수 있다.
여러 대의 가상 머신을 구동 시킨 후 사용자들의 환경과 가장 유사하게 설정해 둔다. 그리고 지속적인 모니터링을 통해 특정 활동이 의심스럽다는 판단이 들면, 의심되는 활동을 서버 내부에 있는 가상 머신에서 똑같이 재현한 후 실행되는 과정을 모두 기록한다.
이 때 가상 머신이 기미상궁의 역할을 수행하게 되면서 기록된 행위를 기반으로 의심스러운 활동이 악성인지 정상인지를 판단해 주기 때문에 사람의 의한 분석이 없어도 '악성 코드'에 대한 실시간 판단 및 대응이 가능해진다.
가상 머신 기술이 현재까지 나와있는 모든 기술 중에서 '알려지지 않은 미지의 악성코드'에 대응할 수 있는 가장 효과적인 이유도 여기에 있다. 의심되는 파일과 트래픽을 실제와 똑 같은 환경에서 실행하는 것이 핵심이기 때문에 매우 정확하게 탐지해낼 수 있다는 특징이 있다.
이진원 파이어아이 수석 컨설턴트는 "점점 지능화되고 있는 해커들의 일차적인 공격을 막는 것도 중요하지만, 공격 자체를 저지하는 선제적 방어 시스템 마련과 똑같은 침해사고가 재발하지 않도록 원인을 철저히 파악하는 것이 우선"이라고 강조했다.