"당신도 표적일 수 있다"… 숨어서 때를 기다리는 'APT'
2015.05.17 16:32
수정 : 2015.05.17 21:43기사원문
진화하는 해킹 수법 'APT 공격' 확산
APT공격 명령·제어 서버 3년새 130국서 184국으로 늘어
방어적 수단으론 대응 한계 기업은 정보보호 투자 확대
개인은 공유기 비밀번호 설정 등 생활속 정보보호 인식 높여야
#. 평화로운 도심 속 오전. 한 여인이 '쇼 타임'이란 문자메시지를 보내자 세명의 남성들로 구성된 일행이 은행으로 걸어들어간다. 그 시간 도시 교통관제센터에선 비상 상황이 발생한다. 중앙서버에 해커가 침입해 서버를 장악하면서 교차로 신호등을 조작한 것이다. 특정 지역의 신호등을 녹색불로 만들며 금융구역을 중심으로 차량정체를 야기시킨 덕에 은행에서 돈을 탈취한 일행은 지하철을 타고 유유히 도심을 벗어난다.
#. 같은 시각 갑작스런 해킹에 우왕좌왕하던 교통관제센터. 사이버보안팀에서 추적한 결과, 보안시스템에서 악성 소프트웨어가 발견됐고 보안 유출의 시작점은 센터 내부 직원의 PC였음을 알아냈다.
해외 정보기술(IT) 보안기업에서 가상의 시나리오를 바탕으로 구성한 해킹 장면이다. 최근 해커들의 주요 해킹 수법으로 지능형지속위협(APT) 공격이 확산되고 있다.
■APT. 흔적을 남기지 않고 은밀히 해킹
APT는 기존 표적공격처럼 목표로 삼은 기업 관계자에게 몰래 접근한 뒤 바로 데이터베이스(DB)에 접근해서 정보를 빼내가지 않는다.
오히려 때를 기다리면서 회사와 관련한 모든 정보를 천천히 시간을 들여 살펴본다. 그리고 흔적을 남기지 않고 은밀히 활동하면서 회사내 보안 서비스를 무력화시키고 유유히 정보를 유출해 달아난다. 정보가 유출된 시점도 곧바로 드러나지 않는다. 흔적을 꼼꼼히 지우면서 들키지 않게 조심스레 공격하기 때문이다. 공격을 당하는 기업이나 기관이 한참 뒤에야 해킹 사실을 알게 된다.
실제 한국수력원자력 해킹과 소니 픽처스 등이 APT 공격으로 해킹당하면서 국내에서도 APT공격이 유명세를 타기 시작했다. 사실은 지금도 일반인들의 생활 주변 어디에 APT공격이 진행되고 있는지 파악하기 조차 어려운게 현실이다.
지난 2013년부터 세계 주요 보안업체들은 일제히 "APT가 앞으로 해커들의 주요 수법이 될 것"이라며 "APT공격에 대응할 수 있는 다양한 대책을 마련해야 한다"고 주의를 당부하고 있다.
전문가들의 당부처럼 최근 그러난 APT공격의 유형은 기존 보안 솔루션을 우회, 숨바꼭질하 듯 숨어서 때를 기다리기 때문에 방어적 수단으로는 대응에 한계가 노출되고 있는게 사실이다.
결국 이용자들의 예방과 철저한 보안 인식과 일상생활의 보안 단속이 지능화된 해킹 공격의 피해를 최소화할 수 있는 근본 대책이라는게 전문가들의 한결같은 조언이다.
■APT, 韓 방위산업체에도 접근
17일 보안공학연구회에 따르면 국내 방산업체 직원들의 개인별 회사메일에 2012년 이후 한달에 2번 이상 APT 공격 메일이 발송되고 있다. 2009년부터 2013년의 60개월 동안 수집된 62개의 악성 코드 중 동일한 악성코드 샘플이 배포된 경우는 2번정도였다.
이러한 표적형 공격들은 공통적으로 국방부, 방위사업청, 국방기술품질원 등의 국방관련 공공기관에서 나오는 주요 공지사항을 활용한 것으로 자칫 방산업체 직원들은 쉽게 해당 메일을 클릭할 수 있다.
문제는 이러한 공격들이 일반적인 오용탐지 백신에서 감지가 사실상 불가능하고 관리적 보안측면에서 감염 방지가 어렵다는 점에서 대책 마련이 쉽지 않다는 것이다.
특히 국내 방산업체에 시도되는 공격의 특이한 점은 타 공공기관에 시도되는 한글문서(hwp)샘플이 아닌 비실행 문서 파일인 pdf, doc로 위장된 실행파일 등 다양한 변형이 활용된 변형된 악성 코드가 활용됐다는 설명이다.
내부 데이터를 탈취하기 위한 사이버 공격이 전세계로 퍼지는 가운데 APT 공격 수행 빈도도 점차 확산되고 있다.
글로벌 보안업체 파이어아이는 APT 공격자가 악성코드를 원격 조정하기 위해 사용하는 명령 및 제어(C&C) 서버가 2010년 130개국에서 발견됐지만 2012년에는 184개국에서 발견됐다고 밝혔다.
지역별로는 미국에 가장 많은 C&C 서버가 위치했으나 한국과 중국, 러시아 등지에서도 상당수의 C&C 서버가 파악됐다.
또한 C&C 서버가 악성코드에 감염된 네트워크에서 데이터 유출을 요청하는 '콜백(CallBack)'도 중국과 한국, 인도, 일본, 홍콩 등 아시아 지역에서 발생한 비중이 전체의 24%를 차지했다.
파이어아이는 "이는 아시아 지역에 위치한 네트워크 상당수가 악성코드에 감염돼 있고 데이터 유출 위협을 받고 있음을 의미한다"며 "한국의 경우 단일 기업이나 기관을 대상으로 APT 공격이 발생하고 있다"고 설명했다.
■수비에는 한계… 사전예방 중요
APT 등 고도화된 사이버 위협이 늘어나면서 이를 탐지하고 막아내는 기술과 대응체계가 진화하고 있다.
그러나 '완벽한 보안시스템은 없다'는 업계의 일관된 반응을 참고해 이용자들의 정보보호 예방 의식과 기업들의 정보보호 투자 확대 등 인프라 구축이 근본적인 대안이란 의견이 다수다.
한국인터넷진흥원에 따르면 e메일에 첨부돼 유포되는 악성코드를 탐지하기 위한 'e메일 악성코드 유포 탐지시스템'이 올해부터 구축·운용되고 있고 온라인 소프트웨어(SW) 업데이트 방식을 악용한 악성코드 유포를 막고자 'SW배포서버 악성코드 유포 탐지시스템'이 연내 마련된다.
아울러 민간 주요정보통신기반 시설의 사이버 보안 대응역량을 높이기 위해 기존 폐쇄망 중심의 핵심시설 점검에서 벗어나 연계된 망과 시스템 등 공급망 보안 점검으로 보호활동을 확대하고 모의 침투훈련으로 사고 대응력을 높인다는 계획이다.
다만 이같은 대응력 강화에도 APT 공격 등 사이버 공격이 지능적이고 은밀하게 이뤄지면서 사이버 공격에 대한 사전예방 역량이 무엇보다 중요하다는 지적이다.
인터넷진흥원 임재명 침해대응본부장은 "기업은 정보보호에 대한 투자를 확대하고 기업에서 제공하는 서비스 등에 대한 상시점검으로 정보보호 수준을 향상시켜야 한다"며 "개인도 가정이나 사무실에서 사용하는 공유기의 비밀번호를 설정하고 출처가 불분명한 문자메시지에 포함된 인터넷주소는 클릭하지 않는 등 생활 속에서 정보보호 인식을 높여야 한다"고 강조했다.
hjkim01@fnnews.com 김학재 기자