APT 공격의 핵심은 바로 ‘악성코드’

[보안멘토]

지능형 통합보안 시스템으로 위협요인 빠르게 탐지·대응해야

[인터뷰] 브라이언 컨토스 블루코트 ATP그룹 부사장/CISO

[보안뉴스 김태형] “최근에 사용자 및 기업들이 검색엔진과 이메일, 소셜 네트워킹 등의 인터넷 프로그램 활용이 증가하면서 안정적인 보안환경 구축이 어려워지고 있다. APT 공격에서 가장 일반적으로 사용되는 것은 악성코드이다. 이러한 위협요인을 가능한 빠른 시간 안에 탐지하고 대응하기 위해서는 ‘네트워크 상의 CCTV’라고 할 수 있는 지능형 통합 보안 시스템이 필요하다.”

▲ 블루코트 브라이언 컨토스(Brian Contos) 지능형 위협 보안(ATP)그룹 부사장이자 CISO가 방한해 KITRI 산하의 BOB(Best Of Best) 센터에서 교육생과 보안전문가를 대상으로 ‘지능형지속보안위협(APT)과 그에 필요한 전략’라는 주제 강연을 진행했다.

블루코트의 브라이언 컨토스(Brian Contos)  지능형 위협 보안(ATP) 그룹 부사장이자 CISO는 21일 한국정보기술연구원(KITRI, 원장 유준상) BOB(Best Of Best) 센터에서 BOB 교육생과 보안전문가를 대상으로 한 명사 초청 강연에서 이와 같이 말했다.

‘지능형 지속 보안위협(APT)와 그에 필요한 전략(Advanced Persistent Threats as the next key wave of security issues, and the need for an ATP capability)’라는 주제로 진행된 이날 강연에서 브라이언 컨토스 부사장은 “인터넷이 지난 1998년에 등장하면서 해커들의 공격도 함께 시작됐다. 인터넷이 대중화되며 삶을 보다 편리하게 변화시키고 있지만, 이를 악의적으로 활용하는 사례들도 같이 늘어나고 있다”면서 “이러한 문제를 해결하기 위해 전 세계 국가들이 사이버테러 대응에 많은 노력을 하고 있다”고 말했다.

또한 그는 “사이버 범죄조직들도 보다 조직적이며 전문화되고 있다. 예를 들면 상근직 해커들을 고용해 특정 기업이나 사이트들을 공격하고 있다. 특히 SEO(Search Engine Optimization: 검색엔진 최적화) 기법을 사이버테러에 악용해 자연재해나 최신 영화, 연예·사회 토픽 등을 일반인들이 검색하면 멀웨어가 심어져 있는 사이트로 연결되어 개인 컴퓨터를 감염시킨다”면서 “이런 식으로 전 세계 수많은 감염 컴퓨터를 이용해 엄청난 규모의 사이버테러가 자행되는데, 이는 아마존이나 구글을 사용하는 것보다 많은 트래픽을 차지하기도 한다”고 덧붙였다.

이 외에도 최근엔 핵티비스트(Hacktivist)의 공격 증가와 해커들의 표적 다변화 추세로 대기업이나 대형 금융기관 대상의 해킹 공격에서 중견·중소기업 및 지방정부를 대상으로 한 해킹 등 보안위협이 점차 증가하고, 다변화되고 있어 기업 보안담당자들은 골치를 앓고 있다.

이러한 이유는 기존 해킹이나 사이버공격을 경험한 대형 기업들이 보안체계를 강화한 것에 비해 중소·중견 기업과 지방정부들은 상대적으로 보안에 취약하기 때문이다. 이에 보안관리자들은 물론 사용자들도 위험한 상황에 더 많이 노출되고 있다.

특히, 업계는 이메일에 포함된 링크 열기나 문서 다운로드, 외견상 실제 엑셀 스프레드시트와 똑같은 문서의 열람, 피싱사이트 접속, 또는 전화기 너머로 누군가에게 패스워드를 발설하는 일 등과 같은 ‘특정 개인을 공격(automation of personalized attacks)하는 것’을 제어하는 방안에 대해 많은 고민을 하고 있다.

이렇듯 개인화된 공격을 위해 해커가 투자하는 비용은 점차 낮아지고 있으며, 이러한 공격을 막기 위해 보안업체들은 인적요소(human factor)를 고려한 개인사용자에게 맞춤화된 방어기술을 구축하는데 더 많은 노력이 필요하다.

또한 브라이언 부사장은 차세대 인터넷 주소 방식인 IPv6 시대에 따른 공격에도 대비가 필요하다고 강조했다. 현재 일상생활에서 IPv6를 사용하고 있지만 기업들은 이전 버전인 IPv4를 기반으로 방화벽을 구축했다. IPv4 주소는 43억개로 한정적이지만 IPv6 주소는 거의 무한대라고 할 수 있다. 하지만 IPv6에 대한 방화벽을 구축하지 않은 기업이 많아 해킹을 시도할 경우 기업은 무방비로 당할 수 있다는 것이다.

그는 “최근 많이 발생하고 있는 APT(Advanced Persistent Threat) 공격은 해커가 시스템에 침투해 장기간 잠복하며 정보를 지속적으로 빼내는 방법이다. 이러한 APT 공격은 사용자 및 기업들이 검색엔진과 이메일, 소셜 네트워킹 등의 인터넷 프로그램 활용이 증가하면서 악성코드가 침입할 경로가 다양해져 상대적으로 방어가 되지 않고 있다”고 설명했다.

특히 이러한 공격의 경우 오랜 기간 매우 정교하게 공격을 준비한 정황들이 확인되고 있으며 실제 하드디스크 파괴 등의 행위가 발생하지 않았다면 훨씬 더 오랫동안 문제가 발견되지 않았을 가능성이 높아 이에 대한 방어 시스템의 필요성이 더욱 대두되고 있다는 것.

이러한 APT 및 정보유출 공격을 위해 가장 일반적으로 사용되는 것이 맬웨어(Malware)인 악성코드다. 블루코트 보안연구소에 따르면, 실제 모든 웹 공격 중 2/3는 악성코드를 통해서 발생했으며, 2012년 기준 전년대비 240%가 증가할 만큼 악성코드의 확산은 폭발적이다.

이러한 악성코드는 웹이나 메일을 통해서 전파되는 것이 가장 일반적이다. 이는 다른 방법에 비해서 악성코드를 전파하기 쉽고 또한 웹이나 메일은 기본적으로 공개되어 있는 서비스이기 때문이다. 특히 웹의 경우 웹 브라우저(IE, 크롬, 사파리 등) 및 다양한 응용 애플리케이션(자바, 어도비, 한글HWP 등)의 취약점을 이용한 악성코드 전파가 주로 활용되고 있다.

블루코트가 최근 전 세계에 구축된 자사의 네트워크 트래픽 측정 시스템의 데이터 분석 결과, 지능형 위협이 기업에 미치는 영향은 △지능형 지속 공격으로 인한 데이터 유실의 평균 비용은 222달러(내부과실로 인한 데이터 유실 비용 대비 27% 많은 수치)였으며, △지능형 지속 공격이 발견되기까지의 평균 80일이 소요되었고 △최종적으로 보안 위협 상황을 해결하는데 걸리는 평균 123일이 걸렸다.

브라이언 컨토스 부사장은 “모바일을 포함한 모든 기기에서 인터넷을 사용하고 있으며, 데이터량과 인터넷 주소가 폭발적으로 증가하면서 보안사고도 보다 지능화되고 자주 발생하고 있다”면서 “이처럼 아무리 벽을 높이 쌓아도 모든 위험 상황을 예방할 수는 없다. 이러한 상황에 대응하기 위해서는 위협요인을 가능한 빠른 시간 안에 탐지하고 대응할 수 있는 ‘네트워크상의 CCTV’인 지능형 통합보안 시스템을 구축해야 한다”고 설명했다.

또한 그는 “이처럼 사이버 공격 방식이 점점 진화하고 있는 상황에서 단일 보안 솔루션만으로 진화하는 APT 공격을 방어하는 데에는 여러 한계점이 존재한다. 보안의 특징상 999개의 공격을 아무리 잘 막아도 단 1개의 취약점 및 악성코드로 사내 보안이 뚫린다면 기존의 차단은 무용지물이 된다”면서 “보다 완벽한 방어를 위해서는 전방위적으로 보안위협 요인을 탐지하고 대응이 가능한 지능형 통합보안 시스템 구축이 반드시 필요하다”고 강조했다.

[김태형 기자(boan@boannews.com)]

카페 소개 : 정보보안기사 카페(다음 정보보안기사 대표 카페)

카페 주소 :http://cafe.daum.net/Security-no1클릭

교재 소개 : 알·기·사(알기쉬운 정보보안기사.산업기사(필기편,실기편))