2015.03.03

강은성의 Security Architect | APT 공격, 어떻게 막을까?(1)

강은성 | CIO KR
이번 칼럼의 제목은 상당히 선정적이다. 지난 몇 년 동안 전 세계적으로 보안 분야에서 화두가 되고 있는 보안위협인 APT(Advanced Persistent Threat) 공격을 막아보겠다는 제목이니 말이다. APT는 우리 말로 지능형 지속위협, 또는 표적 공격 등으로 번역된다. 가트너는 이것을 지능형 표적 공격(ATA, Advanced Targeted Attack)이라고 부른다.

APT가 미국 정부에서 처음 쓰면서 중국을 연상시키는 용어여서 ATA를 쓰겠다고 설명했지만 '표적'이 이 공격의 핵심을 잘 나타낸다는 의미에서 나는 가트너의 용어에 더 마음이 간다.

가트너에서는 표적 공격을 방어하는 5가지 방식이 있다고 설명한다.

1. 네트워크 트래픽 분석: 정상 트래픽 패턴을 구축하고, 공격 당한 환경에서의 비정상 패턴을 실시간으로 찾아내는 방식
2. 네트워크 포렌식: 네트워크 트래픽을 저장하여 분석하는 방식
3. 페이로드(Payload) 분석: 네트워크 단에서 샌드박스(Sandbox) 기술을 활용해 표적 공격을 탐지하는 방식
4. 엔드포인트(Endpoint) 행위 분석: 엔드 포인트에서 응용 프로그램과 파일을 가상 환경에서 분리함으로써 엔드포인트를 보호하는 방식
5. 엔드포인트 포렌식: 엔드 포인트의 데이터를 수집하고 분석하는 도구를 제공하는 방식

그리고 각각에 해당하는 솔루션들도 예를 들어줬다. 2013년 10월 자료이긴 하지만 가트너의 명성에 걸맞게 시장에 나온 제품을 잘 분석, 분류하여 여전히 유효한 분류 방법으로 보인다.

요즘 표적 공격에 대한 방어에서 종종 나오는 용어 중 하나가 '사이버 킬체인'(Cyber Kill Chain)이다. 이 용어는 세계적인 군수업체 록히드마틴의 등록상표이기도 한데, 이 회사는 미국 국방부에서 적의 침입을 모형화할 때 사용한 '킬체인(Kill Chain) 개념을 이용하여 다음과 같이 사이버 킬 체인을 구성하였다.

(1) 정찰(Reconnaissance) (2) 무기 제작(Weaponization) (3) 배달(Delivery) (4) 취약점 공격(Exploitation) (5) 설치(Installation) (6) 명령 및 제어(Command and Control (C2)) (7) 표적 대상 행동(Actions on objectives)

이러한 7단계 사이버 킬체인의 어느 한 단계에서 방어하면 표적 공격을 방해할 수 있다고 하면서 단계별로 가능한 대응책도 내 놨다.


출처: Eric M. Hutchins et al., "Intelligence-Driven Computer Network Defense Informed by Analysis of Adversary Campaigns and Intrusion Kill Chains", Lockheed Martin, 2011

각 단계에서의 정보보호 대책을 탐지(Detect), 차단(Deny), 방해(Disrupt), 완화(Degrade), 속임(Deceive), 파괴(Destroy) 등 여섯 종류로 분류하고 각각에 해당하는 솔루션을 예시해 놓았다. 검토해 볼 만한 대책들이다. 상세한 내용은 위 출처 논문을 참고하시기 바란다.

사이버 킬체인을 표적 공격에 대한 기업의 방어 관점에서 검토하면서 다음과 같이 표적 공격과 방어의 4단계를 정의하는 것이 좀더 현실적이지 않을까 싶다.

단계 표적 공격 방어
1 준비 단계 사전 대응
2 내부망 침입 경계선 방어
3 목표로의 이동 내부망 보안
4 목표 공격 표적 자산 보호
 <표> 표적 공격과 방어의 단계별 행동

1. 사전 대응 단계
이 단계에서의 핵심은 정보의 보유와 노출을 최소화하는 일이다. 반드시 필요한 고객정보만 보유하여 범행의 기대이익을 최소화하고, 유출되더라도 피해를 최소화 한다. 불필요하게 임직원들의 메일 주소, 전화번호, 담당 업무 등이 외부에 노출되지 않도록 하고, 회사 임직원들이 SNS, 카페 등 인터넷에 개인정보를 과도하게 노출하지 않도록 교육한다. 주기적으로 인터넷 검색 등을 통해 관련 정보가 유통되고 있는지 점검하는 것도 유효한 대책이다.

2. 경계선 방어 단계
경계선을 잘 지키기 위해서는 네트워크와 유무선 인터넷에 공개된 웹 서비스나 애플리케이션, 서버를 잘 방어해야 한다. 많은 보안 제품과 보안 서비스가 여기에 집중하고 있다. 피싱 메일, 내부자의 인터넷 사이트 방문, 외부의 업데이트 서버 등을 통해 들어 오는 알려지지 않은 위협(Unknown threat)을 탐지하는 것 역시 중요하다. 특히 웹 서비스가 고객 DB와 직접 연결되어 있는 경우에는 웹은 반드시 지켜야 할 경계선이 된다. SQL 삽입 공격, 인증 우회 공격 등이 치명적이 될 수 있다. 네트워크와 웹, 애플리케이션의 보안취약점 점검 및 보완, 네크워크 보안 공격의 차단, 보안 공격 탐지와 대응 등의 정보보호 대책이 있다.

3. 내부망 보안 단계
상당히 많은 보안 공격이 경계선을 뚫고 내부망에 들어온다. 기술이 계속 발전하고 있긴 하지만 샌드박스를 통과한 악성코드도 있고, 잘 알려진 일반 툴을 통해서도 범행이 이뤄진다. 요즘 종종 발생하는 내부자나 내부자와 다름없는 외부자 의한 범행에 경계선 방어는 무력하다. 따라서 내부에 보안공격이 들어와 있다고 가정하고 서버간 이동, PC에서의 접근, 휴대용 저장매체를 통한 이동 등 표적을 향해 범행자가 이동하는 것을 탐지해야 한다. 내부망에 있는 서버, 정보보호시스템 등 IT 시스템의 보안취약점 점검과 보완, 보안 공격 이동을 차단하기 위한 서버 망 분리와 접근 통제(ACL) 설정, 휴대용 기기 및 이동 저장매체 통제, 각종 IT시스템의 계정 및 권한 관리 등의 정보보호 대책이 있다.

4. 표적 자산 보호 단계
표적 공격의 대상을 보호하는 단계다. 고객정보가 대상 자산이라고 하면 고객 DB나 파일을 적절한 방법으로 보호하는 동시에 이것과 직접 연결된 PC, 웹 애플리케이션 서버(WAS), 웹 서버까지 함께 살펴볼 필요가 있다. 이 경로를 잘 관리하면 많은 범행을 막아낼 수 있다. 암호화, DB 및 서버에 대한 접근통제, 정보유출 탐지 및 대응, 계정 및 권한 관리 등의 정보보호 대책이 있다.

쓰다 보니 평소에 정보보호를 위해 해야 할 일이 많이 나열된 것 같은 느낌도 들 수 있겠다. 우선순위를 정해야 한다. 분명한 것은 한두 가지 보안솔루션을 구축해서 표적 공격을 막을 수는 없다는 사실이다. 하지만 다양한 정책과 기술을 통해 표적 공격을 막아야 한다는 것 또한 분명하다. 제대로 된 방어 기제를 구축하기 위한 근본적인 검토와 분석을 수행하지도 않은 채 표적 공격은 당연히 막을 수 없다고 전제하는 것은 타당하지도 않고, 기업의 정보보호조직과 보안전문업체의 필요성을 의심하게 만들 뿐이다.

위에서 나열한 대책을 웬만큼 운영해 온 회사에는 특별히 내부망 보안을 강조하고 싶다. 고객 정보를 목표로 들어 오는 표적 공격은 해당 웹 서비스로 들어 오거나 내부망을 통해 들어온다. 웹 서비스 보안을 잘 하고 있다면 남은 것은 표적 공격을 위한 내부망 이동을 조기에 탐지하고 대응하는 것이다. 서버 간 이동은 권한 있는 합법적인 경우가 많고 서버간 통신도 불가피하게 있으므로 공격을 위한 이동을 조기 탐지하는 방안을 강구해야 한다.

하나 더 추가한다면 계정 및 권한 관리를 꼽을 수 있다. 공용 계정을 많이 사용하거나 권한 관리를 제대로 하지 않으면 좋은 보안솔루션을 사다 놓아도 구멍이 뻥 뚫려 있는 경우가 많다. 회사의 정책과 관련되기 때문에 보안 부서가 힘을 받지 못하는 회사에서는 시행하기도 어렵고 지속적인 관리도 잘 되지 않기 십상이다. 해외에서는 수십 년 전부터 보안에서 이의 중요성이 강조되어 왔으나 안타깝게도 국내 사정은 그렇지 않다.

무엇보다도 표적 공격을 막기 위해 회사 환경에서 어떤 준비를 해야 할지 심도 있게 분석하는 일부터 시작하면 좋겠다. 그에 따라 표적 공격과 방어의 단계에서 할 일을 치밀하게 준비하여 대형 정보보안 사고를 사전에 막고, 사고가 발생하더라도 신속하고 정확하게 대응할 수 있으면 좋겠다.

*강은성 대표는 소프트웨어 개발자로 시작하여 국내 최대 보안전문업체에서 연구소장과 시큐리티대응센터장을 거치고, 인터넷 포털회사에서 최고보안책임자(CSO)를 역임한 국내 최고의 보안전문가다. 그는 대기업 임원으로서 기업보안을 책임졌던 리더십과 보안 현업에서 얻은 풍부한 관리적ㆍ기술적 경험, 수사기관과 소송에 대응했던 위기관리 경험을 토대로 실효성 있는 기업보안 거버넌스와 보안위험 관리, 정보보호대책을 제안하고 있다. 지금은 CISO Lab을 설립하여 기업 차원의 보안위험 대응 전략을 탐구하여 기업 보안컨설팅과 보안교육을 진행하고 있으며, 저서로 IT시큐리티(한울, 2009)와 CxO가 알아야 할 정보보안(한빛미디어, 2015)가 있다. ciokr@idg.co.kr



2015.03.03

강은성의 Security Architect | APT 공격, 어떻게 막을까?(1)

강은성 | CIO KR
이번 칼럼의 제목은 상당히 선정적이다. 지난 몇 년 동안 전 세계적으로 보안 분야에서 화두가 되고 있는 보안위협인 APT(Advanced Persistent Threat) 공격을 막아보겠다는 제목이니 말이다. APT는 우리 말로 지능형 지속위협, 또는 표적 공격 등으로 번역된다. 가트너는 이것을 지능형 표적 공격(ATA, Advanced Targeted Attack)이라고 부른다.

APT가 미국 정부에서 처음 쓰면서 중국을 연상시키는 용어여서 ATA를 쓰겠다고 설명했지만 '표적'이 이 공격의 핵심을 잘 나타낸다는 의미에서 나는 가트너의 용어에 더 마음이 간다.

가트너에서는 표적 공격을 방어하는 5가지 방식이 있다고 설명한다.

1. 네트워크 트래픽 분석: 정상 트래픽 패턴을 구축하고, 공격 당한 환경에서의 비정상 패턴을 실시간으로 찾아내는 방식
2. 네트워크 포렌식: 네트워크 트래픽을 저장하여 분석하는 방식
3. 페이로드(Payload) 분석: 네트워크 단에서 샌드박스(Sandbox) 기술을 활용해 표적 공격을 탐지하는 방식
4. 엔드포인트(Endpoint) 행위 분석: 엔드 포인트에서 응용 프로그램과 파일을 가상 환경에서 분리함으로써 엔드포인트를 보호하는 방식
5. 엔드포인트 포렌식: 엔드 포인트의 데이터를 수집하고 분석하는 도구를 제공하는 방식

그리고 각각에 해당하는 솔루션들도 예를 들어줬다. 2013년 10월 자료이긴 하지만 가트너의 명성에 걸맞게 시장에 나온 제품을 잘 분석, 분류하여 여전히 유효한 분류 방법으로 보인다.

요즘 표적 공격에 대한 방어에서 종종 나오는 용어 중 하나가 '사이버 킬체인'(Cyber Kill Chain)이다. 이 용어는 세계적인 군수업체 록히드마틴의 등록상표이기도 한데, 이 회사는 미국 국방부에서 적의 침입을 모형화할 때 사용한 '킬체인(Kill Chain) 개념을 이용하여 다음과 같이 사이버 킬 체인을 구성하였다.

(1) 정찰(Reconnaissance) (2) 무기 제작(Weaponization) (3) 배달(Delivery) (4) 취약점 공격(Exploitation) (5) 설치(Installation) (6) 명령 및 제어(Command and Control (C2)) (7) 표적 대상 행동(Actions on objectives)

이러한 7단계 사이버 킬체인의 어느 한 단계에서 방어하면 표적 공격을 방해할 수 있다고 하면서 단계별로 가능한 대응책도 내 놨다.


출처: Eric M. Hutchins et al., "Intelligence-Driven Computer Network Defense Informed by Analysis of Adversary Campaigns and Intrusion Kill Chains", Lockheed Martin, 2011

각 단계에서의 정보보호 대책을 탐지(Detect), 차단(Deny), 방해(Disrupt), 완화(Degrade), 속임(Deceive), 파괴(Destroy) 등 여섯 종류로 분류하고 각각에 해당하는 솔루션을 예시해 놓았다. 검토해 볼 만한 대책들이다. 상세한 내용은 위 출처 논문을 참고하시기 바란다.

사이버 킬체인을 표적 공격에 대한 기업의 방어 관점에서 검토하면서 다음과 같이 표적 공격과 방어의 4단계를 정의하는 것이 좀더 현실적이지 않을까 싶다.

단계 표적 공격 방어
1 준비 단계 사전 대응
2 내부망 침입 경계선 방어
3 목표로의 이동 내부망 보안
4 목표 공격 표적 자산 보호
 <표> 표적 공격과 방어의 단계별 행동

1. 사전 대응 단계
이 단계에서의 핵심은 정보의 보유와 노출을 최소화하는 일이다. 반드시 필요한 고객정보만 보유하여 범행의 기대이익을 최소화하고, 유출되더라도 피해를 최소화 한다. 불필요하게 임직원들의 메일 주소, 전화번호, 담당 업무 등이 외부에 노출되지 않도록 하고, 회사 임직원들이 SNS, 카페 등 인터넷에 개인정보를 과도하게 노출하지 않도록 교육한다. 주기적으로 인터넷 검색 등을 통해 관련 정보가 유통되고 있는지 점검하는 것도 유효한 대책이다.

2. 경계선 방어 단계
경계선을 잘 지키기 위해서는 네트워크와 유무선 인터넷에 공개된 웹 서비스나 애플리케이션, 서버를 잘 방어해야 한다. 많은 보안 제품과 보안 서비스가 여기에 집중하고 있다. 피싱 메일, 내부자의 인터넷 사이트 방문, 외부의 업데이트 서버 등을 통해 들어 오는 알려지지 않은 위협(Unknown threat)을 탐지하는 것 역시 중요하다. 특히 웹 서비스가 고객 DB와 직접 연결되어 있는 경우에는 웹은 반드시 지켜야 할 경계선이 된다. SQL 삽입 공격, 인증 우회 공격 등이 치명적이 될 수 있다. 네트워크와 웹, 애플리케이션의 보안취약점 점검 및 보완, 네크워크 보안 공격의 차단, 보안 공격 탐지와 대응 등의 정보보호 대책이 있다.

3. 내부망 보안 단계
상당히 많은 보안 공격이 경계선을 뚫고 내부망에 들어온다. 기술이 계속 발전하고 있긴 하지만 샌드박스를 통과한 악성코드도 있고, 잘 알려진 일반 툴을 통해서도 범행이 이뤄진다. 요즘 종종 발생하는 내부자나 내부자와 다름없는 외부자 의한 범행에 경계선 방어는 무력하다. 따라서 내부에 보안공격이 들어와 있다고 가정하고 서버간 이동, PC에서의 접근, 휴대용 저장매체를 통한 이동 등 표적을 향해 범행자가 이동하는 것을 탐지해야 한다. 내부망에 있는 서버, 정보보호시스템 등 IT 시스템의 보안취약점 점검과 보완, 보안 공격 이동을 차단하기 위한 서버 망 분리와 접근 통제(ACL) 설정, 휴대용 기기 및 이동 저장매체 통제, 각종 IT시스템의 계정 및 권한 관리 등의 정보보호 대책이 있다.

4. 표적 자산 보호 단계
표적 공격의 대상을 보호하는 단계다. 고객정보가 대상 자산이라고 하면 고객 DB나 파일을 적절한 방법으로 보호하는 동시에 이것과 직접 연결된 PC, 웹 애플리케이션 서버(WAS), 웹 서버까지 함께 살펴볼 필요가 있다. 이 경로를 잘 관리하면 많은 범행을 막아낼 수 있다. 암호화, DB 및 서버에 대한 접근통제, 정보유출 탐지 및 대응, 계정 및 권한 관리 등의 정보보호 대책이 있다.

쓰다 보니 평소에 정보보호를 위해 해야 할 일이 많이 나열된 것 같은 느낌도 들 수 있겠다. 우선순위를 정해야 한다. 분명한 것은 한두 가지 보안솔루션을 구축해서 표적 공격을 막을 수는 없다는 사실이다. 하지만 다양한 정책과 기술을 통해 표적 공격을 막아야 한다는 것 또한 분명하다. 제대로 된 방어 기제를 구축하기 위한 근본적인 검토와 분석을 수행하지도 않은 채 표적 공격은 당연히 막을 수 없다고 전제하는 것은 타당하지도 않고, 기업의 정보보호조직과 보안전문업체의 필요성을 의심하게 만들 뿐이다.

위에서 나열한 대책을 웬만큼 운영해 온 회사에는 특별히 내부망 보안을 강조하고 싶다. 고객 정보를 목표로 들어 오는 표적 공격은 해당 웹 서비스로 들어 오거나 내부망을 통해 들어온다. 웹 서비스 보안을 잘 하고 있다면 남은 것은 표적 공격을 위한 내부망 이동을 조기에 탐지하고 대응하는 것이다. 서버 간 이동은 권한 있는 합법적인 경우가 많고 서버간 통신도 불가피하게 있으므로 공격을 위한 이동을 조기 탐지하는 방안을 강구해야 한다.

하나 더 추가한다면 계정 및 권한 관리를 꼽을 수 있다. 공용 계정을 많이 사용하거나 권한 관리를 제대로 하지 않으면 좋은 보안솔루션을 사다 놓아도 구멍이 뻥 뚫려 있는 경우가 많다. 회사의 정책과 관련되기 때문에 보안 부서가 힘을 받지 못하는 회사에서는 시행하기도 어렵고 지속적인 관리도 잘 되지 않기 십상이다. 해외에서는 수십 년 전부터 보안에서 이의 중요성이 강조되어 왔으나 안타깝게도 국내 사정은 그렇지 않다.

무엇보다도 표적 공격을 막기 위해 회사 환경에서 어떤 준비를 해야 할지 심도 있게 분석하는 일부터 시작하면 좋겠다. 그에 따라 표적 공격과 방어의 단계에서 할 일을 치밀하게 준비하여 대형 정보보안 사고를 사전에 막고, 사고가 발생하더라도 신속하고 정확하게 대응할 수 있으면 좋겠다.

*강은성 대표는 소프트웨어 개발자로 시작하여 국내 최대 보안전문업체에서 연구소장과 시큐리티대응센터장을 거치고, 인터넷 포털회사에서 최고보안책임자(CSO)를 역임한 국내 최고의 보안전문가다. 그는 대기업 임원으로서 기업보안을 책임졌던 리더십과 보안 현업에서 얻은 풍부한 관리적ㆍ기술적 경험, 수사기관과 소송에 대응했던 위기관리 경험을 토대로 실효성 있는 기업보안 거버넌스와 보안위험 관리, 정보보호대책을 제안하고 있다. 지금은 CISO Lab을 설립하여 기업 차원의 보안위험 대응 전략을 탐구하여 기업 보안컨설팅과 보안교육을 진행하고 있으며, 저서로 IT시큐리티(한울, 2009)와 CxO가 알아야 할 정보보안(한빛미디어, 2015)가 있다. ciokr@idg.co.kr

X