본문 바로가기

현장속으로/세미나

말도 많고 탈도 많은 APT 공격 어떻게 막을까

10월 22일 서울 양재동 The-K서울호텔에서 데일리시큐 주최로 <2013 공기업·정부산하기관 정보보호 컨퍼런스(PASCON)>가 개최되었다. 정보보호와 개인정보보호 이슈에 대한 이해의 폭을 넓히고 각종 사이버 보안 위협에 적극 대처할 수 있도록 실무자 기술 수준을 높이고 최신 정보보호 솔루션 정보를 공유하는 자리였다


정보보호 담당자개인정보보호 책임자 및 실무자 500명이 참석한 이 컨퍼런스에는 안랩, 소만사, 파수닷컴, 컴트루테크놀로지 등 총 15개의 기업이 참가했다. 이 중 안랩 강양수 부장은 APT 공격 및 방어 전략에 관하여 발표했다.

 

 

강양수 부장은 늦은 시간에 발표한 만큼 지루하지 않게 사례를 들어가며 청중의 이목을 끌며 발표를 하였다. 다음은 주요 내용.

 

 

APT란 다양한 정보기술을 이용해 경제적이거나 정치적인 목적을 위해 지속적으로 특정 대상을 공격하는 행위이다. APT는 아직 보고되지 않은 취약점을 악용하고 오랜 시간에 걸쳐 공격을 한다. 또한, 목적이 달성될 때까지 지속적인 공격을 시도하며, 무작위 공격이 아닌 특정 대상을 목표로 사람이 개입되어서 공격을 한다는 특징이 있다.

 

 

 

위 표는 APT 공격 시 행해지는 절차이다. 내부 PC가 감염었다는 것은 공격자가 PC를 운영할 수 있다는 뜻이며, 이 단계까지 가면 공격자에게 PC의 제어권을 빼앗긴 것이다. 하지만 제어권까지 빼앗기는 순간을 찾기 힘든 것이 현재의 문제점이다.

 

APT의 공격 사례로는 스턱스넷(이란 원자력 발전 시설 해킹), 오로라 사건(모건 스탠리 해킹), 미국 국립 오크리지 연구소 해킹, 나이트 드래곤(글로벌 에너지 기업 해킹)이 있다. 이 사례들은 모두 해외에서 있었던 사례들이다


이 모든 사건은 짧은 기간에 행해진 것이 아니라 오랜 기간에 걸쳐 행해졌고 기밀들이 유출되었다는 공통점이있다. 국내에서 최근 2013.04.05에 건설 분야에서 있었다. 이 해킹의 시작은 2006년에 시작하였지만 아무도 알아채지 못하였다. 공격자는 두 가지의 공격을 했다. 첫째는, 입찰설명회에서 참여하여 명함을 교환하여 정보를 얻었으며 둘째는, 입찰참여 목록을 정리하여 정보를 얻었다.

 

 

공격자들은 위와 같은 실제 문서와 메일을 보내어 열어볼 수밖에 없는 상황을 만들어 수신자가 실제 문서를 받고 안심하게 되지만, 실제로는 문서를 통하여 공격을 하는 경우가 발생하게 된다.


, 다른 방법의 공격이 있다. 정상적인 문서 하나하나에 악성코드를 심어 놓고 분리 되어 있을 때는 악의 적인 행위를 하지 않고 있다 공격자가 정해놓은 악성코드 문서들이 모두 모이면 그 때 악의적인 행위를 하는 것이다.

 

<APT의 일반적인 진행>

 

 

 

<APT 공격을 막는 방법>

 

 

위와 같은 세부항목을 막아야 하는데 Unknown 악성코드에 대처하는 방법이 가장 힘들다공격을 막는 방법 중에 고도로 훈련된 인력이 축적된 노하우로 정밀하게 다음 공격을 추측하는 방법도 있다. 또한, DICA를 이용하여 문서만 전문적으로 살펴보는 엔진을 사용하기도 한다. Ahn