2018.04.30

기고 | APT로 의심되는 5가지 징후

Roger A. Grimes | CSO
그 어느 때보다 지능형 지속 공격(advanced persistent threat, APT) 해커 및 악성코드가 기승을 부리고 있다. 수법도 더욱 교묘해졌다. APT 전문 해커들은 정부 기관이나 관련 산업에 고용되어 의뢰받은 기업과 타깃 해킹을 생업으로 삼는 이들이다. 후원자의 이해관계에 부합하도록 중요 정보를 캐내거나, 악성코드를 심거나, 타깃 네트워크 및 컴퓨터에 원할 때마다 잠입할 수 있도록 백도어 프로그램을 설치해 두는 등의 작업을 한다.



APT 해커들은 대체로 수완이 매우 좋으며 절대 잡히지 않는다는 점에서 사실상 게임의 우위를 점하고 있다. 일반적인 범죄자들이 이와 같은 이점을 누리게 된다면 얼마나 집요하고 악랄하게 범죄 행위를 자행할지 생각해 보라.

그러나 APT 해커는 타깃이 자신의 행위를 바로 알아채지 못하게 매우 주의한다는 점에서 일반 해커와 구분된다. 타깃이 알아채고 경계하는 순간 목표 달성이 훨씬 어려워진다. 가장 뛰어난 해커는 네트워크와 컴퓨터에 잠입하여 필요한 것을 빼내고, 탈출하는 순간까지 들키지 않는 해커다. 그래서 이들의 작업은 대체로 ‘천천히, 은밀히’ 이뤄진다. 타깃이 의심할 만한 수상한 이벤트나 에러 메시지, 트래픽 혼잡, 서비스 방해 등을 야기하지 않기 위해서다.

대부분 APT는 해킹에 커스텀 코드를 사용하지만, 최소한 처음에는 공공연히 알려진 취약점을 노리는 쪽을 선호한다. 그렇게 하면 설령 공격 사실이 들통나더라도 과연 공격자가 APT 해커인지, 아니면 일반적이고 상대적으로 덜 문제가 되는 일반 해커나 악성코드 프로그램인지 식별하기가 어렵기 때문이다.

이처럼 교묘한 APT 해킹이 기승을 부리고 있다면, 과연 내가 APT 공격을 당하고 있는지 아닌지 알 방법은 없는 것일까?

APT 알아보기
APT 해커는 일반 해커와 다른 기술을 사용하기 때문에 남기는 흔적도 좀 다르다. 지난 20년 동안 필자는 APT 공격을 받은 기업들이 공통으로 다음의 5가지 특징적 현상을 경험한다는 것을 알아챘다. 이들 중에는 기업 내에서 합법적인 활동의 일환으로 나타나는 것들도 있으나, 이러한 이벤트가 예기치 않게 발생하거나, 그 규모가 일반적이지 않은 경우 APT를 의심해 볼 수 있다.

1. 늦은 밤 중요 인물의 컴퓨터 및 서버에서 로그온 볼륨의 증가
APT는 처음에는 단일 컴퓨터의 손상으로 시작하지만, 불과 몇 시간 만에 여러 대의 컴퓨터나 전체 환경에 영향을 미치며 규모가 급속히 확대된다. 공격자는 인증 데이터베이스를 읽고, 자격 증명을 훔쳐서 이를 재사용한다. 이들은 어떤 사용자(또는 서비스) 계정이 상대적으로 높은 특권과 사용 권한을 가졌는지 파악한 다음, 해당 계정을 통해 기업 환경 내의 자산에 손상을 입힌다. 공격자가 시간대가 아예 다른, 지구 반대편에 살고 있으면 야간에 이러한 부류의 로그온이 대량으로 발생하는 현상을 목격할 수 있다. 갑자기 여러 대의 서버나 중요 인물의 컴퓨터에서 대량의 로그온이 발생했다면, 그런데 정작 그러한 컴퓨터 및 서버에 접근할 수 있는 권한자는 집에 있거나 업무 시간이 아니라면 이는 경계해 봐야 할 사안이다.

2. 백도어 트로이목마 바이러스의 확산
APT 해커는 일단 기업 환경 내에 침입하고 나면, 손상된 시스템에 백도어 트로이목마를 설치하기도 한다. 이들이 이런 작업을 하는 이유는 설령 피해자가 눈치를 채고 로그온 자격 증명을 변경하더라도 항상 다시 돌아올 수 있도록 미리 길을 열어두기 위함이다. APT 해커의 또 다른 특성은, 이들은 일단 발각되어도 일반 해커들과 달리 한 번에 도망가지 않는다. 그럴 필요가 없다. 이미 환경에 침입하여 컴퓨터를 손아귀에 넣어 놓았고, 어차피 법적으로 제재를 받을 일도 없기 때문이다.

요즘에는 대부분 기업들이 소셜 엔지니어링을 통해 배포된 트로이목마 바이러스로 인해 피해를 보곤 한다. 트로이목마 바이러스는 거의 모든 환경에서 발견되며, APT 공격과 함께 확산되는 경향이 있다.

3. 예상치 못한 데이터의 흐름
내부 발신 지점으로부터 다른 내외부 컴퓨터로 이어지는, 예기치 못한 대용량의 데이터 흐름이 발생하지 않는지 잘 보자. 이러한 데이터의 흐름은 서버 대 서버, 클라이언트 대 서버 또는 네트워크 대 네트워크 간에도 발생할 수 있다.

이러한 데이터 흐름은 제한적이면서도 분명한 대상을 가질 확률이 있다(예를 들어 외국에 있는 사람에게 보내는 이메일 등). 이메일 클라이언트들이 이메일 확인을 위해 가장 최근 로그인 한 사용자 정보와 접근 위치를 표시해 준다면 좋을 텐데, 아쉬운 부분이다. 지메일 및 일부 다른 클라우드 이메일 시스템에서는 이미 이 기능을 제공하고 있다.

그러나 오늘날 정보의 흐름은 대부분이 VPN에 의해 보호되거나 HTTP(HTTPS) 대신 TLS를 포함하고 있기 때문에 이는 쉽지 않은 문제다. 과거와 달리 요즘은 많은 기업이 보안 감찰 기기의 초크포인트(chokepoint)를 통해 정의되지 않은, 또는 승인받지 않은 HTTPS 트래픽을 차단하거나 중간에 가로채고 있다. 이러한 보안 감찰 기기는 자체적인 TLS 디지털을 대체하여 HTTPS 트래픽의 정체를 드러내 주며 소스와 타깃 모두에게 각각 커뮤니케이션의 상대방인 양 프록시로서 행세한다. 이러한 기기는 트래픽의 정체를 드러내고, 감찰하며, 데이터를 원래 커뮤니케이션 타깃에게 보내기 전 재 암호화한다. 이러한 작업을 거치지 않을 경우 필터링된 데이터 유출을 막을 수 없을 것이다.

물론 APT를 탐지하기 위해서는 사전에 데이터 흐름이 어떤 모양으로 이뤄지는지를 알고 있어야 할 것이다. 지금이라도 시작해 기초적인 것부터 배워 나가면 된다.

4. 예기치 못한 데이터 묶음의 등장
APT 공격자는 훔친 데이터를 내부 컬렉션 포인트에 모아서 외부로 유출한다. 대규모(메가바이트 단위가 아니라 기가바이트 단위의) 데이터가 뜬금없는 위치에 나타날 경우, 특히 기업에서 주로 사용하지 않는 아카이브 형식으로 압축되어 나타날 경우 의심해 보아야 한다.


5. 집중된 스피어피싱 캠페인
그러나 APT 공격 여부를 알려주는 가장 확실한 사인은 누군가가 문서 파일을 사용하여 기업 직원들에게 집중적으로 스피어피싱 이메일을 보내기 시작할 때다. 여기서 문서 파일이란 어도비 아크로뱃 PDF 파일, MS 오피스 워드, MS 오피스 엑셀 XLS, MS 오피스 파워포인트 파일 등을 말한다. 이러한 파일에는 실행 가능한 코드나 URL 링크가 들어 있다. 이러한 파일들이 대부분 APT 공격의 원인 에이전트가 된다.

무엇보다 APT 공격이 진행 중임을 알 수 있는 가장 확실한 신호는 피싱 이메일을 기업 내 모든 사람에게 보내는 것이 아니라 몇몇 중요한 인물들(CEO, CFO, CISO, 프로젝트 리더, 테크놀로지 리더 등)에게만 보내올 때다. 특히 다른 팀원의 정보를 사전에 캐내는 데 성공하지 않았다면 절대 알 수 없는 정보들을 이용해 이메일을 보내온다면 확실하다.

이메일은 가짜일지 모르나, 이러한 이메일들은 실제 회사 내부에서 현재 진행 중인 프로젝트 및 관련 주제에 대한 내용을 담고 있다. ‘긴급 전달 사항’과 같은 뻔한 제목 대신, 그 사람이 현재 진행 중인 프로젝트와 아주 관련도가 높은 내용을, 그 프로젝트에 참여 중인 다른 팀원의 주소로 보내오는 것이다. 이처럼 구체적이고, 타깃이 아주 뚜렷한 피싱 이메일이 온다면 당하지 않을 사람이 거의 없을 것이다. 나중에 가서야 내가 왜 그랬지 하고 후회하겠지만, 이는 사실 해커들이 그만큼 교묘하고 수완이 뛰어난 덕분이다.

집중적 스피어피싱 공격이 발생했다는 보고가 들어온다면, 특히 회사 내 중요 인물들이 첨부 파일을 실수로 클릭했다는 이야기 등이 들려온다면 위의 4가지 신호가 나타나지 않았는지 주의 깊게 살펴보아야 한다. 어쩌면 이미 공격이 진행 중인지도 모른다.

솔직히 말해, APT 공격은 처음부터 안 당하는 것이 제일 좋다. 그 피해가 워낙 크고 중대하기 때문이다. 예방과 조기 발견만이 조금이라도 피해를 줄일 방법이다.

*Roger A. Grimes는 인포월드 테스트센터 전문 기고가로, 보안 전문 컨설턴트이자 마이크로소프트 수석 보안 아키텍트다. ciokr@idg.co.kr
 
2018.04.30

기고 | APT로 의심되는 5가지 징후

Roger A. Grimes | CSO
그 어느 때보다 지능형 지속 공격(advanced persistent threat, APT) 해커 및 악성코드가 기승을 부리고 있다. 수법도 더욱 교묘해졌다. APT 전문 해커들은 정부 기관이나 관련 산업에 고용되어 의뢰받은 기업과 타깃 해킹을 생업으로 삼는 이들이다. 후원자의 이해관계에 부합하도록 중요 정보를 캐내거나, 악성코드를 심거나, 타깃 네트워크 및 컴퓨터에 원할 때마다 잠입할 수 있도록 백도어 프로그램을 설치해 두는 등의 작업을 한다.



APT 해커들은 대체로 수완이 매우 좋으며 절대 잡히지 않는다는 점에서 사실상 게임의 우위를 점하고 있다. 일반적인 범죄자들이 이와 같은 이점을 누리게 된다면 얼마나 집요하고 악랄하게 범죄 행위를 자행할지 생각해 보라.

그러나 APT 해커는 타깃이 자신의 행위를 바로 알아채지 못하게 매우 주의한다는 점에서 일반 해커와 구분된다. 타깃이 알아채고 경계하는 순간 목표 달성이 훨씬 어려워진다. 가장 뛰어난 해커는 네트워크와 컴퓨터에 잠입하여 필요한 것을 빼내고, 탈출하는 순간까지 들키지 않는 해커다. 그래서 이들의 작업은 대체로 ‘천천히, 은밀히’ 이뤄진다. 타깃이 의심할 만한 수상한 이벤트나 에러 메시지, 트래픽 혼잡, 서비스 방해 등을 야기하지 않기 위해서다.

대부분 APT는 해킹에 커스텀 코드를 사용하지만, 최소한 처음에는 공공연히 알려진 취약점을 노리는 쪽을 선호한다. 그렇게 하면 설령 공격 사실이 들통나더라도 과연 공격자가 APT 해커인지, 아니면 일반적이고 상대적으로 덜 문제가 되는 일반 해커나 악성코드 프로그램인지 식별하기가 어렵기 때문이다.

이처럼 교묘한 APT 해킹이 기승을 부리고 있다면, 과연 내가 APT 공격을 당하고 있는지 아닌지 알 방법은 없는 것일까?

APT 알아보기
APT 해커는 일반 해커와 다른 기술을 사용하기 때문에 남기는 흔적도 좀 다르다. 지난 20년 동안 필자는 APT 공격을 받은 기업들이 공통으로 다음의 5가지 특징적 현상을 경험한다는 것을 알아챘다. 이들 중에는 기업 내에서 합법적인 활동의 일환으로 나타나는 것들도 있으나, 이러한 이벤트가 예기치 않게 발생하거나, 그 규모가 일반적이지 않은 경우 APT를 의심해 볼 수 있다.

1. 늦은 밤 중요 인물의 컴퓨터 및 서버에서 로그온 볼륨의 증가
APT는 처음에는 단일 컴퓨터의 손상으로 시작하지만, 불과 몇 시간 만에 여러 대의 컴퓨터나 전체 환경에 영향을 미치며 규모가 급속히 확대된다. 공격자는 인증 데이터베이스를 읽고, 자격 증명을 훔쳐서 이를 재사용한다. 이들은 어떤 사용자(또는 서비스) 계정이 상대적으로 높은 특권과 사용 권한을 가졌는지 파악한 다음, 해당 계정을 통해 기업 환경 내의 자산에 손상을 입힌다. 공격자가 시간대가 아예 다른, 지구 반대편에 살고 있으면 야간에 이러한 부류의 로그온이 대량으로 발생하는 현상을 목격할 수 있다. 갑자기 여러 대의 서버나 중요 인물의 컴퓨터에서 대량의 로그온이 발생했다면, 그런데 정작 그러한 컴퓨터 및 서버에 접근할 수 있는 권한자는 집에 있거나 업무 시간이 아니라면 이는 경계해 봐야 할 사안이다.

2. 백도어 트로이목마 바이러스의 확산
APT 해커는 일단 기업 환경 내에 침입하고 나면, 손상된 시스템에 백도어 트로이목마를 설치하기도 한다. 이들이 이런 작업을 하는 이유는 설령 피해자가 눈치를 채고 로그온 자격 증명을 변경하더라도 항상 다시 돌아올 수 있도록 미리 길을 열어두기 위함이다. APT 해커의 또 다른 특성은, 이들은 일단 발각되어도 일반 해커들과 달리 한 번에 도망가지 않는다. 그럴 필요가 없다. 이미 환경에 침입하여 컴퓨터를 손아귀에 넣어 놓았고, 어차피 법적으로 제재를 받을 일도 없기 때문이다.

요즘에는 대부분 기업들이 소셜 엔지니어링을 통해 배포된 트로이목마 바이러스로 인해 피해를 보곤 한다. 트로이목마 바이러스는 거의 모든 환경에서 발견되며, APT 공격과 함께 확산되는 경향이 있다.

3. 예상치 못한 데이터의 흐름
내부 발신 지점으로부터 다른 내외부 컴퓨터로 이어지는, 예기치 못한 대용량의 데이터 흐름이 발생하지 않는지 잘 보자. 이러한 데이터의 흐름은 서버 대 서버, 클라이언트 대 서버 또는 네트워크 대 네트워크 간에도 발생할 수 있다.

이러한 데이터 흐름은 제한적이면서도 분명한 대상을 가질 확률이 있다(예를 들어 외국에 있는 사람에게 보내는 이메일 등). 이메일 클라이언트들이 이메일 확인을 위해 가장 최근 로그인 한 사용자 정보와 접근 위치를 표시해 준다면 좋을 텐데, 아쉬운 부분이다. 지메일 및 일부 다른 클라우드 이메일 시스템에서는 이미 이 기능을 제공하고 있다.

그러나 오늘날 정보의 흐름은 대부분이 VPN에 의해 보호되거나 HTTP(HTTPS) 대신 TLS를 포함하고 있기 때문에 이는 쉽지 않은 문제다. 과거와 달리 요즘은 많은 기업이 보안 감찰 기기의 초크포인트(chokepoint)를 통해 정의되지 않은, 또는 승인받지 않은 HTTPS 트래픽을 차단하거나 중간에 가로채고 있다. 이러한 보안 감찰 기기는 자체적인 TLS 디지털을 대체하여 HTTPS 트래픽의 정체를 드러내 주며 소스와 타깃 모두에게 각각 커뮤니케이션의 상대방인 양 프록시로서 행세한다. 이러한 기기는 트래픽의 정체를 드러내고, 감찰하며, 데이터를 원래 커뮤니케이션 타깃에게 보내기 전 재 암호화한다. 이러한 작업을 거치지 않을 경우 필터링된 데이터 유출을 막을 수 없을 것이다.

물론 APT를 탐지하기 위해서는 사전에 데이터 흐름이 어떤 모양으로 이뤄지는지를 알고 있어야 할 것이다. 지금이라도 시작해 기초적인 것부터 배워 나가면 된다.

4. 예기치 못한 데이터 묶음의 등장
APT 공격자는 훔친 데이터를 내부 컬렉션 포인트에 모아서 외부로 유출한다. 대규모(메가바이트 단위가 아니라 기가바이트 단위의) 데이터가 뜬금없는 위치에 나타날 경우, 특히 기업에서 주로 사용하지 않는 아카이브 형식으로 압축되어 나타날 경우 의심해 보아야 한다.


5. 집중된 스피어피싱 캠페인
그러나 APT 공격 여부를 알려주는 가장 확실한 사인은 누군가가 문서 파일을 사용하여 기업 직원들에게 집중적으로 스피어피싱 이메일을 보내기 시작할 때다. 여기서 문서 파일이란 어도비 아크로뱃 PDF 파일, MS 오피스 워드, MS 오피스 엑셀 XLS, MS 오피스 파워포인트 파일 등을 말한다. 이러한 파일에는 실행 가능한 코드나 URL 링크가 들어 있다. 이러한 파일들이 대부분 APT 공격의 원인 에이전트가 된다.

무엇보다 APT 공격이 진행 중임을 알 수 있는 가장 확실한 신호는 피싱 이메일을 기업 내 모든 사람에게 보내는 것이 아니라 몇몇 중요한 인물들(CEO, CFO, CISO, 프로젝트 리더, 테크놀로지 리더 등)에게만 보내올 때다. 특히 다른 팀원의 정보를 사전에 캐내는 데 성공하지 않았다면 절대 알 수 없는 정보들을 이용해 이메일을 보내온다면 확실하다.

이메일은 가짜일지 모르나, 이러한 이메일들은 실제 회사 내부에서 현재 진행 중인 프로젝트 및 관련 주제에 대한 내용을 담고 있다. ‘긴급 전달 사항’과 같은 뻔한 제목 대신, 그 사람이 현재 진행 중인 프로젝트와 아주 관련도가 높은 내용을, 그 프로젝트에 참여 중인 다른 팀원의 주소로 보내오는 것이다. 이처럼 구체적이고, 타깃이 아주 뚜렷한 피싱 이메일이 온다면 당하지 않을 사람이 거의 없을 것이다. 나중에 가서야 내가 왜 그랬지 하고 후회하겠지만, 이는 사실 해커들이 그만큼 교묘하고 수완이 뛰어난 덕분이다.

집중적 스피어피싱 공격이 발생했다는 보고가 들어온다면, 특히 회사 내 중요 인물들이 첨부 파일을 실수로 클릭했다는 이야기 등이 들려온다면 위의 4가지 신호가 나타나지 않았는지 주의 깊게 살펴보아야 한다. 어쩌면 이미 공격이 진행 중인지도 모른다.

솔직히 말해, APT 공격은 처음부터 안 당하는 것이 제일 좋다. 그 피해가 워낙 크고 중대하기 때문이다. 예방과 조기 발견만이 조금이라도 피해를 줄일 방법이다.

*Roger A. Grimes는 인포월드 테스트센터 전문 기고가로, 보안 전문 컨설턴트이자 마이크로소프트 수석 보안 아키텍트다. ciokr@idg.co.kr
 
X