[화요기획 APT]"2012 최대 위협 APT를 방어하라"

발행일 : 2012-08-27 17:00 업데이트 : 2014-02-14 21:58 지면 : 2012-08-28 17면

올해 대한민국을 강타한 최고의 보안위협을 꼽으라면 단연 지능형지속위협(APT)이다.

지난해 3500만명 개인정보를 유출시킨 SK커뮤니케이션즈 해킹사고와 넥슨 1320만명 개인정보 유출 사고, 농협 전산망 마비 등 굵직한 해킹 사고의 원인도 APT로 지목되고 있다. 올 상반기 역시 수많은 APT 공격 사고가 발생한 것으로 추정된다. 특히 한글파일(HWP)의 취약성을 이용한 정부기관, 대기업을 노린 다수의 APT 공격이 발생한 것으로 알려져 국내 정부 기관과 기업들이 APT 공격의 표적이 됐다.

APT 공격은 특수한 목적을 가진 조직이 하나의 표적에 대해 다양한 IT 기술을 이용, 지속적으로 정보를 수집하고 취약점을 파악, 이를 바탕으로 피해를 끼치는 공격이다. 불특정 다수를 대상으로 시도하는 일반 해킹이나 표적공격과 달리 첩보 형태로 장기간 정보를 수집해 공격을 감행한다는 점에서 보다 지능화된 기법이다.

◇국내 주요 보안업계 APT 위협 첫 손 꼽아=한국인터넷진흥원(KISA)은 APT 형태의 보안 위협 대상이 되는 조직들을 정부기관, 사회 기반시설, 정보통신 기업, 제조업종, 금융업 같은 주요 데이터를 보유한 기업으로 규정했다. 즉 주요 데이터가 경제적으로 이익을 확보할 수 있는 수단이 된다는 뜻이다.

APT 공격은 분산서비스거부(DDoS) 공격 등 불특정 다수를 중심으로 했던 다른 공격에서 변화돼 경제적, 정치적인 특수 목적을 달성할 수 있는 대상을 공격 목표로 한다. APT 공격을 시도하는 자는 사전에 공격 대상정보를 수집한다. 이후 사회공학적 기법 등 다양한 기법을 바탕으로 내부 침투를 시도한다. 침투에 성공하면 원하는 정보를 얻기 위한 검색 단계를 거쳐 필요한 정보를 수집하고 지속적인 제어를 통해 관리한다.

이처럼 공격 대상 시스템의 정보를 장기간 수집 및 분석하며 공격자는 공격 대상의 주변 환경을 점령해 관리한다. APT 공격은 지속적이고 은밀하게 공격이 진행되기 때문에 직접적인 피해가 발생하기 전까지 피해자는 공격 사실조차 인지하기 어렵다.

안랩, 잉카인터넷, 하우리 등 국내 주요 보안업체들은 고객 정보 뿐 아니라, 기업, 국가기관의 주요 내부 정보 유출에 목적을 둔 공격이 다수 발생했다고 밝혔다.

안랩은 2012년 상반기 5대 보안위협 중 APT 공격을 가장 먼저 지목했다. 안랩측은 “정보 유출 목적의 APT 공격이 늘어났다”며 “지난해까지 고객 정보 유출과 시스템 파괴가 목표였던 APT 공격이 올해 들어서는 고객 정보뿐만 아니라 내부 정보 유출을 목표로 하기 때문에 주의해야한다”고 말했다. 잉카인터넷도 2012년 상반기 10대 보안이슈 중 APT공격위험 증가를 상위에 랭크하며 주의를 당부했다. 시만텍은 대기업, 국가기관 등을 대상으로 하던 APT 공격이 중소기업까지 범위를 넓히고 있다고 밝혔다

시만텍은 `2012년 상반기 전 세계 표적공격(Targeted Attack) 동향 보고서`를 통해 중소기업을 겨냥한 표적공격이 18%에서 36% 이상으로 급증했다고 분석했다. 소기업의 경우 지능적인 사이버 공격을 감시할 전담 IT 인력이 없는 만큼 협력관계에 있는 대기업을 겨냥한 표적공격의 전초기지로 삼기가 수월하기 때문이다.

◇조직 내부의 체계적 대응이 중요=APT 공격은 최신 기술로 목적을 달성할 때까지 지속적으로 이뤄지기 때문에 기존 방어 방법보다 심도 있고 조직적인 대응이 필요하다. 개별 보안 기술 및 솔루션이 아닌 전사 및 통합차원의 보안체계 구성이 필수다.

이를 위해서는 위협 발생 전 사전대응 발생 후 사후대응을 구분해 지속적으로 관리, 감독할 수 있는 기관, 기업의 보안정책이 반드시 필요하다. 나아가 APT 공격을 관리, 감독할 수 있는 정부차원의 제도를 마련, 민간 기업을 대상으로 APT 대응 보안정책 컨설팅, 내부자 교육, 망 분리 기술지원 등을 수행할 수 있는 제도적 장치를 마련해야 한다.

김승주 고려대학교 사이버국방학과 교수는 “은밀하게 진행되는 APT 공격을 사전에 완벽히 방어하는 것은 불가능하기 때문에 사고 발생 후 이를 추적, 원인을 규명할 수 있는 포렌식 준비도 등 정부 차원의 대응이 필요하다”고 말했다. 장기간 복합적이고 지속적인 공격이 감행되는 APT 공격의 성격만큼 치밀한 사전 준비와 대응이 시급한 시점이다.

기존공격유형과 APT 공격 비교