APT(Advanced Persistent Threat / 지능형 타깃 지속 공격) APT(Advanced Persistent Threat / 지능형 타깃 지속 공격)란? APT 공격이란 지능형 타깃 공격으로, ‘해커가 악의적인 목적을 가지고 목표(Target)을 정하여 지속적인 공격을 시도하는 것’을 말한다. APT를 하는 목적은 크게 사회적 목적과 경제적 목적으로 나눌 수 있으며, 사회적 목적을 가진 APT는 주로 공공기관, 정부, 공공시설(발전소, 댐 등), 군사조직을 목표로 한다. 사회적 목적에 의한 APT는 정부정책을 알아내기 위하여 기밀문서를 탈취하거나, 정부에 대한 반감으로 정부시스템을 무력화시키거나 혼란을 주기 위하여 발전소, 댐 등의 공공기반시설에 대한 사이버 테러를 가하는 행위양태를 보인다. 경제적 목적에 의한 APT 공격은 첨단기술을 보유하고 있는 업체의 비밀을 탈취하기 위해서 또는 고객개인정보 등의 탈취를 위해서 IT/일반 기업을 대상으로 이루어지는 것이 일반적이다. 이것은 피해업체의 경쟁사에 의해 일어날 수도 있고 범죄조직에 의해서 일어날 수도 있다. 중요한 것은 APT 공격을 사회적/경제적 목적에 따라 구분하지 않더라도 피해자(Target)에게는 정말 치명적인 손실을 유발할 수 있다는 점이다. 최근 들어 화두 되는 APT에 대해서 단계별로 자세히 알아보고 사례를 통해서 대응책을 강구하고자 한다. APT(Advanced Persistent Threat / 지능형 타깃 지속 공격)의 단계 1. 목표설정 - 이루고자 하는 목적에 적합한 목표를 설정하는 단계 용의자(들)는 자신들이 이루고자 하는 목적에 부합하는 목표(Target)를 설정하는데, 정부에 혼란을 주기 위해서라면 정부기관이 될 것이고, 기업의 첨단기술 정보(설계도면, 소프트웨어 개발 소스코드 등)의 탈취가 목적이라면 당연히 그 기업이 대상이 될 것이다. 목표는 단 한 개의 기관/조직이 되기도 하고 경우에 따라 수 개의 기관이 그 목표가 될 수 있다. 2. 정보수집 - 공격을 하기 위한 사전 준비단계 목표(Target)에 대한 전반적인 정보를 수집한다. 기관의 위치, 연혁, 협력사, 임직원 정보, 보안 용역계약을 맺은 업체 등 그 종류를 구분하지 아니하고 정보를 수집한다. 수집되는 정보는 기관과 관련된 모든 영역에서 수집되어 그 범위가 광범위하고, 대중에 공개되어 있는 낮은 수준의 정보에서 특정 임직원의 출신학교, 가족 등 매우 깊은 수준의 정보에 이르기까지 그 수준이 다양하다. 이러한 정보를 수집하는 방법 역시 수단과 방법을 가리지 아니한다. 예를 들어 임직원의 개인적인 취향이나 사회관계(동호회, 동창회 등)를 파악하기 위하여 페이스북과 같은 SNS를 이용할 수도 있고, 미행을 하여 자주 가는 식당에 대한 정보를 수집할 수도 있는 것이다. 3. 공격(침투) - 공격이라고 하기엔 뭐한..사실상 ‘낚시’ 수집된 정보를 이용하여 목표(Target)에 대한 공격을 시작한다. 그러나 직접 그 업체의 방화벽을 뚫거나 서버에 침투하는 것이 아닌 ‘낚시’를 한다. 일종의 미끼를 지속적으로 던지는 셈이라 할 수 있다. 예를 들어 수집된 정보 중 임직원의 동호회, 동창회 정보를 알고 그 임직원에게 ‘OO동호회 XX모임 관련 공지’란 이름의 이메일을 보낼 수 있다. 이 이메일을 받은 임직원은 아무런 의심없이 그 메일을 열어볼 것이고 메일이 열람되거나 첨부자료를 내려받는 순간 공격은 성공하는 것이다. 또는 목표 회사가 최근 인력채용을 하고 있다는 정보를 알고 입사지원서처럼 속여 hwp파일로 변환한 악성코드를 전송할 수 있다. 인력채용 담당자는 그 입사지원서를 내려받을 것이고 그 파일은 악성코드로써 최선을 다하여 해당 업체의 컴퓨터들을 감염시킬 것이다. 정보를 수집하고 지속적으로 미끼를 던진 공격이 드디어 성공하는 순간이다. 4. 정보유출 - 침투하여 원격조종으로 원하는 정보를 탈취 일단 악성코드에 감염된 PC는 용의자의 아바타로써 역할을 충실히 해낸다. 용의자는 내부망의 정보 이동을 살펴 관리자 PC를 추론하고, 관리자 PC를 집중 탐색하여 자신이 원하는 정보에 접근 가능한 ‘권한’이 있는 ID와 PW를 알아낸다. 이후 원하는 정보에 접근하여 미리 열어둔 포트와 경유지를 통하여 자신의 베이스에 전송하면 모든 공격은 종료가 되는 것이다. APT(Advanced Persistent Threat / 지능형 타깃 지속 공격)의 사례 오퍼레이션 쉐이드 랫(Operation Shady Rat) 작년 8월에 일어난 해킹사고로 공격기간 만 5년이 넘고, 공격을 받은 기관들은 각국의 정보기관, 사업체 등 70군데가 넘는다. 이 역사에 남을 해킹공격에 대해 보안 솔루션 업체인 McAfee社는 ‘a massive and ongoing cyber attack(거대하고 진행 중인 사이버 공격)'이라고 칭하였다. 오퍼레이션 오로라(Operation Aurora) 작년 1월 Google을 비롯하여 Adobe, Intel 등 34개의 글로벌 기업들의 첨단 기술 정보가 유출되었다. 이 공격에는 Internet Explorer의 제로데이(Zero Day) 취약점이었던 MS100-002(CVE-2010-0249)가 악용되었고, 기업 임직원 메일로 링크를 첨부하여 수신자들이 링크를 클릭한 사이 악성코드가 컴퓨터에 잠입해 네트워크를 감염시켰다. 스턱스넷(Stuxnet) ‘사이버 미사일’로 알려져 있는 이 사건은 2010년 7월 악성코드를 이용해 이란 원자력 발전소 작동을 방해한 것으로, 사용된 악성코드는 SCADA(Supervisory Control And Data Acquisition) 시스템을 임의로 제어하는데 사용되었다. 원자력 발전소 내부에서 사용하는 독일 지멘스社의 소프트웨어 구조를 정확하게 파악하여 관련 파일을 변조하는 등 여러 공격 방법을 사용하였으며, 4개의 제로데이를 공략하는 등 최악의 APT공격으로 알려져 있다. 나이트 드래곤(Night Dragon) 2009년 11월부터 최소 1년 이상 카자흐스탄, 그리스, 대만, 미국에 위치한 석유화학업체를 대상으로 조직적인 범행이 이루어졌다. 웹 서버 해킹, 악성코드 제작 및 유포, 다양한 해킹 툴이 이용되어 악성코드가 기업에 침투하여 내부망 주요 시스템을 해킹한 뒤 영업 기밀을 빼내어 갔다. 국내 사례 국내에서는 SK컴즈(네이트/싸이월드), 넥센 해킹사고에서 APT공격이 사용된 것으로 추정되나 정확히 밝혀지지는 않았다. 다만 SK컴즈의 경우 경찰의 중간수사발표에 따르면 변조된 알집 업데이트 서버 파일을 내려 받음으로써 해커가 내부망에 악성코드를 심어놓은 것으로, 그 공격 형태가 전형적인 APT 공격의 일부임을 추정할 수 있다. APT(Advanced Persistent Threat / 지능형 타깃 공격)가 문제 되는 이유 APT공격이 문제가 되는 이유는 이전 해킹과 구별되는 APT의 특징에 있다. 이전 해킹이나 악성코드가 특정 목표를 두지 아니하고 불특정 다수에게 공격을 시도한 반면, APT의 경우 특정 목표를 정하고 그것을 집중 공략하는 특징이 있다. 목표를 정하고 집중 공략하기 때문에 준비기간이 길고 그 공격수준이 높으며 치밀하여, 웬만해서는 막아내기가 힘들다. 또 다른 특징은 해커가 목표의 방화벽이나 보안을 직접 공격하여 뚫는 기존의 방식이 아닌, 내부에서 악성코드를 심도록 한다는 점이다. 이 과정에서 광범위하고 다양한 목표에 대한 정보가 요구되고, 그 정보를 이용하여 내부를 공략하게 되므로 단순히 해킹 기술의 수준이 높기 보다는 전략적 수준이 매우 높다고 볼 수 있다. 즉, 이러한 고도의 전략을 사용하기 때문에 ‘지능형’이란 수식어가 붙는 것이다. 일부 전문가들은 치밀한 계획에 의해 공격을 하기 때문에 사실상 APT를 막는 것이 불가능하다고 판단한다. 당연히 치밀한 계획에 의해 목표의 취약점(이를테면 Zero Day 등)을 공략하는 악성코드를 침투시키기 때문에 일단 침투한 APT를 막아내는 것은 불가능에 가까울 수도 있다. 그러나 그 치밀한 계획에 의해 준비된 악성코드를 내부에 심는 자는 다름아닌 내부인이다. 즉, 직접 공격을 하지 않고, 내부자가 기관의 방화벽을 열어줌으로써 APT공격이 성공할 수 있음을 감안하면, 내부 관리/감독에 의한 APT방어는 불가능해보이지 않는다. APT(Advanced Persistent Threat / 지능형 타깃 지속 공격) 대응방법 APT 공격에 대응하는 방법은 기술적 방법과 인적 방법으로 나눌 수 있다. 먼저, 기본적인 백신 소프트웨어, IPS, 방화벽 등 보안장치의 정상적이고 철저한 운용은 기술적 대응방법이라고 하기에도 못할 정도로 기본중의 기본이라고 할 수 있다. 더불어 24시간 모니터링, 로그에 대한 세밀한 분석 또한 기본 대응책이라고 할 수 있다. 이러한 기본적인 조치들은 당연히 하는 것이 맞으나 실제로 이러한 기본도 못 지키는 기업이 상당수 있다는 것은 심히 걱정되는 부분이다. 특히 로그분석의 경우 공격이 순식간에 일어나기 보다는 지속적으로 일어나므로 반복되는 이상 접근이나 징후를 로그분석을 통해 발견한다면 그 원천을 차단함으로써 APT 방어에 성공할 수 있을 것이다. 기술적 방법의 다음은 조직에서 중요하게 여기는 ‘중요 정보(Data)’를 구분하여 네트워크 대역을 분리 운용하는 방법이다. 즉 중요정보에 접근할 수 있는 길이 넓으면 넓을수록 APT공격은 더욱더 손쉬워지므로 중요정보에 대한 접근을 될 수 있으면 차단하는 것이 지혜로운 예방법일 것이다. 예를 들어 군(軍)에서는 군사기밀 작성ㆍ취급 등의 비밀작업을 할 때에는 반드시 내부망(인트라넷)과 분리된 컴퓨터에서 하도록 규정되어 있어서 원천적으로 군사기밀로의 접근을 차단하고 있다. 내부 임직원이 무분별한 인터넷 사용으로 인한 APT공격을 막기 위해 사용할 수 있는 기술적 방법은 검증된 App에 한해서 접근을 허용하는 ‘화이트리스트(White list)'방법이 사용될 수 있다. 이것은 기업 내부에서 어플리케이션들을 대상으로 검토 및 테스트를 통하여 검증하여 안전하다고 믿을 수 있는 어플리케이션들만 접근할 수 있도록 하는 것이다. 검증되지 않는 어플리케이션에 대해서는 설치 또는 실행이 되지 않도록 설정을 해놓아 내부 임직원이 실수로 악성코드를 내려 받는 일이 없도록 예방하는 것이다. 위에서 설명한 기술적 조치는 분명 필요한 것이지만 취약점을 공략하는 APT의 특징을 고려하면 기술적 방어에는 분명 한계가 존재한다. 그러한 한계를 극복하고 APT를 방어하기 위한 방법은 ‘인적 통제’를 통해서 이뤄진다. ‘접근 통제’는 현재 많은 기업들이 적용하고 운용하고 있지만 정상적으로 운용되는지는 의문이다. 상당수가 관리자 ID/PW를 공유하고 있고, 접근권한이 없는 자가 중요 데이터에 접근 할 수 있는 등 접근 통제를 문서로만 하고 있는 경우가 종종 있다. 접근통제는 중요 정보에 접근할 수 있는 인원을 최소한으로 책정하고 그 권한을 구분하여 부여함으로써 중요 정보의 노출을 최소화 시키는 것이다. 또한 ID의 공유 금지, 절차 준수 철저 등 그 접근통제 정책이 정상적으로 운용될 수 있도록 노력하는 것이 중요하다. 보안 교육은 보안담당자만 하는 것이 아니라 조직 전체를 상대로 필수적으로 해야하는 교육이다. 예를 들어 비밀번호를 매 기간마다 변경하도록 하여 개개인의 보안수준의 하락을 막고, 비인가 사이트 접속 금지, 불법 다운로드 금지, 의심 메일 열람 금지 등의 보안 수칙을 교육하고 생활화할 수 있도록 종용하는 것이 필수적이라 할 수 있다. 이러한 교육을 통하여 조직 전체의 보안의식이 고취되면 생각 없이 이메일의 링크를 클릭하는 실수는 줄어들 것이다. APT(Advanced Persistent Threat / 지능형 타깃 지속 공격)은 막을 수 있다. APT공격이 치밀한 준비와 지속적인 공격으로 그 예방과 대처가 어렵긴 하지만, 방법은 있다. APT공격의 성공은 항상 인적 요소의 구멍에서 일어나기 때문에 인적 요소의 적절한 통제/교육을 실시한다면 APT공격에 취약한 기술적 한계를 넘을 수 있는 것이다.