[시큐리티 Q&A] APT 공격 대응 기술 노하우

Q. 최근 APT 공격사례와 기법이 궁금하다. 이러한 APT 공격에 효과적으로 대응할 수 있는 최신 기술을 소개해 달라.

A-1. 지난해 발생한 3.20 사이버테러는 알려지지 않은 악성코드와 이메일을 통한 스피어피싱 등의 기법을 사용하고 장기간 준비된 점 등, 여러 측면을 고려했을 때 전형적인 지능형지속위협(APT)의 공격 양상을 보였다. 또한 6.25사이버공격도 제로데이 악성코드, 샌드박스 우회 등의 APT 공격에서 선호하는 기법들을 활용하여 공격이 이뤄졌다.

이처럼 정교하고 지능화된 보안위협에 있어 방화벽, 차세대 방화벽, 침입방지 시스템(IPS), 안티바이러스(AV), 보안 게이트웨이 등 전통적인 시그니처기반의 보안 솔루션으로는 더 이상 대응이 불가하며, 기존에 알려지지 않은 위협에 대응할 수 있는 보안 계층이 추가적으로 마련되어야 한다.

예를 들면, 에코 시스템(eco system)의 구축을 통해 이미 알려진 공격은 방화벽 및 IPS와 같은 시그니처, 정책 기반의 장비에서 담당하고, SIEM/포렌식 솔루션을 통해 공격의 세부과정에 대해 분석을 하며, 알려지지 않은 공격에 대해서는 파이어아이와 같은APT 방어 전문 솔루션이 탐지한 후 각 보안장비와의 연동을 통해 APT 공격을 차단할 수 있다.

특히, 6.25 공격을 일으킨 악성코드 Simdisk.exe은 이전에 알려지지 않은 악성코드로, 어떠한 백신에도 탐지되지 않은 안티-백신(Anti-Vaccine) 기술을 사용했을 뿐 아니라, 가장 최신의 보안 기술인 범용 가상화(VM, Virtual Machine) 기술 기반의 샌드박스 장비를 회피하기 위한 안티-VM(Anti-VM) 기술을 사용했다.

또한 안티-디버깅(Anti-Debugging) 등의 기능이 포함된 themida packer라는 팩킹 기술을 활용하여 분석 및 탐지를 어렵게 해 범용 가상화 기반의 샌드박스에서는 분석이 거의 불가능하게 설계되었다.

파이어아이 솔루션의 경우, 자체 개발된 가상화 기반의 행위분석 기술 멀티-벡터 가상 실행(MVX) 엔진을 통해 지난 6.25 사이버공격에서 안티-VM기술을 선보여 샌드박스 솔루션을 우회했던 악성코드의 회피 전술까지 파악, 탐지가 가능했다.

파이어아이는 가상환경에서 파일들을 실행하고 분석하는 멀티-벡터 가상 실행(MVX) 엔진(Multi-VectorVirtual Execution Engine, 이하 MVX)을 통해 알려지지 않은 APT 공격에 사전 대응하고 있다.

멀티-벡터 가상 실행(MVX) 엔진은 상용 하이퍼바이저가 아니라 파이어아이에서 악성코드 탐지에 최적화된성능을 제공하기 위해 자체 개발하여 다양한 샌드박스 회피기법들을 무력화시키고 있다. 또한, 1개 장비에서 196(MAS)개까지의 VM을 동시에 동작시키기 때문에 성능 및 탐지율을 최대화하도록 설계되었다.

이는 운영체제, 응용 프로그램, 브라우저 및 플러그인을 포함한 다단계 탐지 엔진을 기반으로 실제 사용자와 유사한 환경에서 의심스러운 코드를 실행하는 완벽한 가상 테스트 환경을 사용함으로써 알려지지 않은 위협을 탐지 차단하며 공격에 대한 세부정보를 확보한다.

알려지지 않은 악성코드 의심 파일에 대해 가상 머신에서 실제 실행한 결과를 기반으로 분석하기 때문에 정확한 분석과 정보 반영이 가능하며, 특히 문맥기반(Context)의 행위 분석과 복합적인 방법의 분석을 통해 공격과 연관된 서로 전혀 다른 문맥들역시 분석하여 샌드박스를 우회하는 악성코드를 탐지한다.

이러한 파이어아이만의 고유한 기술들은 APT와 같이 장시간에 걸쳐 시행되는 공격에 대해서도 공격의 시작부터 종료까지의 라이프 사이클에 대한 전체적인 가시성을 제공하기 때문에 효율적인 탐지와 차단이 가능하다.

(김현준 파이어아이코리아 이사/hyunjun.kim@fireeye.com)

A-2. 최근에는 APT로 대변되는 다양하고 지속적인 공격을 통해 정상적인 계정정보를 획득하고 이 계정을 통해 접속하여 데이터를 유출시키는 형태로 사고가 발생하고 있다. 이러한 공격을 방어하기 위해서는 네트워크 보안 솔루션만으로는 불충분하며 데이터 중심의 보안체계로 재편해야 한다.

데이터 중심의 보안은 보호가 필요한 데이터를 어플리케이션과 DBMS에 투명한 암호화를 적용하고 권한이 부여된 계정(privileged user)과 프로세스(어플리케이션)에 대한 접근통제를 적용하는 것이다.

또한 감사 로그에 대해 보안 인텔리전스를 적용해 이상 징후가 나타나는 즉시 이메일 등을 통한 알림을 받을 수 있도록 시스템을 구축하는 것이다. 이러한 데이터 중심의 보안체계를 통해 네트워크 보안의 한계를 극복할 수 있으며 APT 공격에 대해서도 효과적으로 대응할 수 있다.

(구병춘 보메트릭코리아 부장/bckoo@vormetric.com)

A-3. 지난해 3월 20일 국내 금융권 및 방송사를 대상으로 업무에 사용되던 PC 서버가 마비되고, 막대한 양의 데이터가 파괴되는 등 그야말로 ‘전산망 대란’이 일어났었다. 이후 전문가 및 관계자들이 사건을 분석한 결과 공격 유형을 ‘APT’로 정의, 이 공격에 대한 업계 관심이 집중되고 있다.

APT란 지능형지속위협(APT: Advanced Persistent Threat)의 약자로, 특정 대상을 표적으로 내부 시스템의 취약점을 이용해 침투한 뒤 숨어 있다가 주요 정보를 유출하거나 시스템을 마비시키는 공격을 일컫는다.

3.20 사이버테러뿐 아니라 2011년 SK커뮤니케이션즈 3,500만명과 넥슨 1,320만명의 개인정보유출, 농협 전산망 마비, 그리고 2006년 옥션 개인정보 유출 등의 여러 사이버 사건이 모두 APT 공격으로 발생한 사건이다.

APT 공격은 정교하고 은밀하며, 특정 패턴이 존재하지 않는다는 특징이 있다. 공격자는 임직원 권한을 도용하는 등 정상적인접속 방법으로 타깃 네트워크에 침입하며, 짧으면 몇 주 길게는 수 년간 머무르면서 데이터를 수집, 확보, 장악한다. 공격기법이 매우 정교하기 때문에 최신 백신 프로그램을 쓰고 있어도 공격자를 탐지하고 차단하기가 매우 어렵다.

이러한 공격에 대한 대안으로 내부사원이 사용하는 업무망과 외부망(인터넷) 자체를 분리 운영하는 방식인 망분리가 있다. 망분리는 크게 VDI와 하나의 PC에 두 개의 운영체제(OS)를 설치하는 OS커널 분리 방식의 논리적인 망분리와 한사람이 두 개의 PC를 사용하거나 전화 스위치로 망을 분리 혹은 네트워크 카드 2개를 탑재한 PC를 사용하는 물리적인 망분리로 나눌 수 있다.

(왕재윤 한국산업기술보호협회 관제운영팀 연구원/jywang@kaits.or.kr)

[김경애 기자(boan3@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)