[APT 전격해부] APT 그것이 궁금하다....소리없는 위험 APT를 막아라

2014-10-22 13:50
  • 글자크기 설정

아주경제 장윤정 기자 = 지능형지속위험(APT) 공격이 위험하다. APT로 인해 지난 3.20, 6.25 등 대형 사이버테러가 발생해 대한민국이 들썩였다. 지난 2011년 3500만 사용자 개인정보 유출 사태를 초래한 네이트온 해킹 사태의 원인도 APT 공격이었다. 

APT는 공격자가 악성코드를 심은 이메일을 보내 사용자가 열도록 하는 방식으로 PC를 감염시킨다. 감염된 좀비 PC가 증가하면서 서버가 파괴되도록 만들고, 내부 시스템에 잠복한 악성코드들이 데이터베이스 정보를 빼내는 공격이다.

언제, 어디서 공격받는지도 모른다. 공격을 받았다는 사실조차 인지하지 못하기도 해 더욱 위협적이다. 

그러나 조직 내 한사람만 감염되도 전체를 감염시킬 수 있고 감염대상자가 고위급일 경우 기밀 정보가 누출될 수도 있다.

대한민국을 뒤흔드는 소리없는 위협 APT  공격을 효과적으로 막을 방법은 없을까? 본지와 APT전문기업 파이어아이는 공동으로 APT의 A부터 Z까지 전격해부해본다. 

제 1회 APT가 뭐에요?
제 2회 공격이 아닌 공격자를 막아야한다
제 3회 악성코드 막으면 APT가 막힐까요?

IT의 여러가지 분야 중에서도 가장 빠르게 발전을 거듭하고 있는 분야 중 하나가 바로, ‘컴퓨터 보안’이다. 미래창조과학부가 발표한 '2013 인터넷이용실태조사'에 의하면 국내 인터넷 사용자 수는 2013년 4000만명을 돌파한 것으로 집계됐으며 10가구중 8가구는 스마트폰을 이용하고 있는 것으로 나타났다.

인터넷 사용률이 보편화 될수록, 개인이나 기업의 정보는 외부로 유출될 수 있는 위험에 직면하게 된다. 정보를 노리는 해커들도 해킹 방법을 점점 진화시키고 있으며, APT와 같은 다변화된 공격 기법을 통해 개인과 기업에 커다란 위협이 되고 있다.

그렇다면, 각종 보안 사고 소식에 반복적으로 언급되는 APT란 무엇인가?

이 용어에 대해서는 전문가들 사이에서도 약간의 견해 차이가 있지만, 공통적으로 인정하는 부분을 살펴보면 '특정한 목적을 가지고, 특정한 목표(타깃)에 대해서, 장시간에 걸쳐, 대규모의 후원을 받는 체계적인 집단에 의해서 발생하는 새로운 형태의 보안 위협'으로 설명할 수 있다.

APT에 대한 정의에서 핵심적인 부분을 꼽아보자면 '특정한 목적'과 '목표'가 APT의 성격과 위험도를 알려주는 가장 중요한 단어다. 보통 APT라고 불리는 공격의 경우, 국가 혹은 그에 준하는 규모의 체계를 갖춘 조직에 의해서 발생하는 경우가 많기 때문에, 일반인들에게도 익숙한 DDos(분선서비스거부 공격)공격보다 훨씬 더 까다롭고 피해 규모가 크다.

체계적인 APT 공격을 수행하는 조직의 정체와 활동을 사전에 탐지하기 위해서는 보안 업체의 역할이 무엇보다 중요하다. 

전문가들은 가상 머신의 개념을 통해 차세대 해킹 공격에 대응할 수 있다고 생각한다. 가상 머신에 대해 보다 쉽게 설명하자면, 과거 왕들이 음식을 먹기 전 독이 들어 있는지 알아보기 위해 음식을 먼저 먹어보던 '기미상궁'에 비유할 수 있다.

여러 대의 가상 머신을 구동 시킨 후 사용자들의 환경과 가장 유사하게 설정해 둔다. 그리고 지속적인 모니터링을 통해 특정 활동이 의심스럽다는 판단이 들면, 의심되는 활동을 서버 내부에 있는 가상 머신에서 똑같이 재현한 후 실행되는 과정을 모두 기록한다.

이 때 가상 머신이 기미상궁의 역할을 수행하게 되면서 기록된 행위를 기반으로 의심스러운 활동이 악성인지 정상인지를 판단해 주기 때문에 사람의 의한 분석이 없어도 '악성 코드'에 대한 실시간 판단 및 대응이 가능해진다.

가상 머신 기술이 현재까지 나와있는 모든 기술 중에서 '알려지지 않은 미지의 악성코드'에 대응할 수 있는 가장 효과적인 이유도 여기에 있다. 의심되는 파일과 트래픽을 실제와 똑 같은 환경에서 실행하는 것이 핵심이기 때문에 매우 정확하게 탐지해낼 수 있다는 특징이 있다.

이진원 파이어아이 수석 컨설턴트는 "점점 지능화되고 있는 해커들의 일차적인 공격을 막는 것도 중요하지만, 공격 자체를 저지하는 선제적 방어 시스템 마련과 똑같은 침해사고가 재발하지 않도록 원인을 철저히 파악하는 것이 우선"이라고 강조했다.
 

가상머신을 이용한 악성코드 분석 방안 [자료 = 파이어아이 제공 ]


©'5개국어 글로벌 경제신문' 아주경제. 무단전재·재배포 금지

0개의 댓글
0 / 300

로그인 후 댓글작성이 가능합니다.
로그인 하시겠습니까?

닫기

댓글을 삭제 하시겠습니까?

닫기

이미 참여하셨습니다.

닫기

이미 신고 접수한 게시물입니다.

닫기
신고사유
0 / 100
닫기

신고접수가 완료되었습니다. 담당자가 확인후 신속히 처리하도록 하겠습니다.

닫기

차단해제 하시겠습니까?

닫기

사용자 차단 시 현재 사용자의 게시물을 보실 수 없습니다.

닫기
공유하기
닫기
기사 이미지 확대 보기
닫기
언어선택
  • 중국어
  • 영어
  • 일본어
  • 베트남어
닫기