본문 바로가기

안랩人side/김홍선 前 CEO

APT 잘 막으려면 공격자 입장에서 바라보라

지난 8월 12일, 역삼동 한국과학기술회관에서 ETRI 주최로 산·연 보안 컨퍼런스(ESCON)가 열렸다. 이 컨퍼런스는 ETRI 연구원이 보유한 첨단 보안기술의 산업체 활용을 높이기 위해 개최되었다. 오전 세션에는 초청강연과 국내 보안 솔루션 소개가 진행되었고, 오후 세션에는 ETRI 보유기술에 대한 발표가 진행되었다. 

오전 세션의 초청강연 첫 순서인 안랩 김홍선 사장의 "APT(Advanced Persistent Threat) 공격의 특성과 방어대책"을 들어보았다. 아래는 주요 발표 내용.

최근 실리콘 밸리의 투자은행에서 관심을 갖는 키워드 'Big 3'는 빅데이터, 클라우드, 보안이다. 각 분야는 연평균 30% 이상의 성장률을 보일 정도로 중요성이 높다. 여기에 BYOD까지 합세하여 최근 관심을 끄는 키워드를 이루고 있다. 

APT 공격 동향

과거에는 APT 공격의 주된 목표가 군사 기밀 정보 탈취였다. 따라서 정부나 군사 기관이 주된 공격 대상이었다. 현재는 일반 기업까지 공격 대상의 범위에 포함되었고, 목적 또한 금전적 이득 쪽으로 확대되고 있다. 

APT(Advanced Persistent Threat)란 하나의 타깃을 위한 여러 개의 악성코드라고 볼 수 있다. APT와 과거의 보안 위협과의 주된 차이점으로는 악성코드의 모듈화, 장기간에 걸친 은닉, 특정 공격대상의 존재를 들 수 있다. 공격 패턴의 변화가 계속해서 이루어지고 있으므로, 변화의 탐지에 주안점을 두고 대비해야 한다. 

APT공격은 공격 대상이 속한 국가 내에서 사용 빈도가 높은 소프트웨어의 취약점을 악용한다. 우리 나라를 타겟으로 설정하게 되면, 한글 소프트웨어나 곰플레이어가 공격 대상이 된다. 이와 같은 국지적 SW에서 가장 취약한 부분은 업데이트이다. 이 점을 잘 보여주는 예로 'SK컴즈 사태'가 있다. 이 사건은 알집 업데이트 서버를 공격하여 발생한 사건으로 국지적 SW의 취약성, 특히 업데이트가 가장 취약한 부분이라는 것을 여실히 보여주는 사례이다.  


<수비자 관점에서 공격자 관점으로>

안에서 보이는 길만 컨트롤하려고 하면 바깥에 트여있는 여러 개의 문을 모두 지킬 수 없다. 외부에서 내부로 통하는 길목을 전체적으로 보고 컨트롤할 수 있어야 한다. 이를 위해서는 수비자 관점이 아닌 공격자 관점에서의 보안 방식이 필요하다. 


보안 위협의 변화

최근 보안 위협의 형태가 변화하고 있다. 먼저, 글로벌 조직적 범죄가 늘어나고 있다. 점점 더 공격 스케일이 커지고 더 많은 비용을 들여 공격하고 있다. 둘째, 해킹 도구는 라이센스까지 취득하여 상품화하고 있으며, 여느 완성도 높은 SW 못지 않은 편리한 사용성을 가지게 되었다. 셋째, 악성코드가 공격의 중심이 되었다. 최근의 모든 공격에는 악성코드가 100% 사용되고 있다. 마지막으로, PC를 타깃으로 하는 입체적 공격 수법이 발달하였다. 


<악성코드의 진화>

터넷 인프라가 지속적으로 확대됨에 따라 인터넷을 통한 악성코드 유입이 급증하고 있다. 특히 최근의 악성코드는 보안 솔루션의 탐지를 회피하기 위해 더욱 교묘한 기술을 사용하고 있다.


APT 공격 특성 및 대책

최근의 악성코드는 체계적인 공급 과정인 '악성코드 에코시스템'을 갖추고 있다. 한 사람이 아닌 네트워크 시스템으로 진행되고 있어 점점 활성화, 체계화 되고 있음을 알 수 있다. 여기에 Malnet(Malware delivery network: 상용 악성코드 유포 서비스 인프라)이 발달하여 악성코드의 진입 경로가 포털사이트 부터 SNS까지 다양해졌다. 


<1,2,3 세대로 알아보는 악성코드 치료 방법>

1세대: 시그니처 기반의 악성코드 치료 (샘플 확보 -> 분석 시스템/ 분석가 -> 엔진 업데이트)

2세대: 클라우드 기반의 분석 (2세대의 키워드는 '대용량'이라고 할 수 있다. 의심파일이 생기면 행위 정보와 성치경로와 평판정보 등을 서버로 보내어 파일과 행위 등을 분석하고 시그니처를 자동추출 하였다.)

3세대: Multi-Dimensional Protection(MDP) 다각적 보호 (파일 낱개가 아닌 악성코드 유입에 따른 Context를 확인하고 안전한 프로그램만 걸러내어 실행한다. 행위 기반 탐지, 연관 관계 분석 등 다각적인 분석 방법을 통해 보안이 실행된다.)


"Traditional Methods Are Not Working!"

신종 악성코드는 기존 시그니처 기반 솔루션을 우회하므로 기존 보안 솔루션으로는 탐지하기가 어렵다. 따라서 APT 공격 프로세스라는 밑그림을 그리고 흐름을 분석해야 한다. 이 과정에서 '포렌식'이라는 한장의 페이퍼 안에 전체의 컨텍스트를 그려내는 기술이 요구된다. APT 공격의 프로세스를 살펴보면, 인터넷 서비스를 이용하여 악성코드를 감염시키고 C&C 서버를 통한 조정으로 악성코드 기능을 업데이트 한다. 이 프로세스 분석을 통해 네트워크 어플라이언스 기반 기술, 실시간 Cloud DB Lookup 기술, 네트워크+엔드포인드 연계분석 기술, 악성코드 분석 노하우+자동 분석 시스템이라는 대응 방안이 요구된다.


<기존 관제체계 vs 컨버전스 관제 체계>

컨버전스 관제 체계에서는 기존 관제체계 보다 지능적인 분석이 필요하다. 

컨버전스 관제 체계에서는 상황 정보를 기반으로 분석 및 대응하고, 공격 시나리오에 따른 탐지와 추적을 진행하며 내부 취약구간을 식별한다. 다양한 비정형 로그를 통합 및 분석하여 빅데이터를 처리하고 내·외부를 통합하여 관제하는 등 기존 관제체계보다 지능적이고 분석적인 방식을 사용한다.


정보 보안의 지향점

정보 보안의 지향점으로 지능성, 실효성, 최적화를 꼽을 수 있다. 따라서 세 가지 사항에 주안점을 두고 정보 보안을 발전시켜 나갈 필요성이 있다. 


지난 수 차례에 걸친 APT 공격의 여파가 아직도 남아있다. 공격 방법은 점점 더 교묘해지고 수비망을 피해가기 위한 변화가 계속되고 있다. 따라서 그에 맞춘 대응책이 필요하다. 당일 초청 강연의 두 번째 발표자였던 카이스트 김용대 교수는 보안에 관한 수업을 진행함에 있어 한 학기 내내 공격의 방법만 가르치기도 한다고 하였다. 이와 같이 공격에 대한 이해가 선행되어야 제대로 된 보안이 가능하기에, 공격자의 입장에서 바라보는 연습이 필요한 것이다. APT 공격, 보안업계의 지능적이고 지속적인 보안 대책으로 막아낼 수 있을 것이라 기대해본다. Ahn   

 대학생기자 이혜림 / 세종대 컴퓨터공학과

나를 바로 세우고, 타인을 존중하는 삶.

오늘도 새겨봅니다.