기고 | 지능형 지속 공격(APT)에의 대처법 '5가지 원칙'

그 이름도 적절한 ‘지능형 지속 공격’(APT, advanced persistent threat)이란 해커가 특정 타깃을 선정한 후 소셜 엔지니어링 등 다양한 방법을 이용해 네트워크에 침입한 후 공격이 성공할 때까지(혹은 완전히 불가능해 지기 전까지) 짧게는 수 주, 길게는 수 년에 걸쳐 줄기차게 공격하는 방식을 말한다.

일단 네트워크 잠입에 성공한 해커의 목표는 최대한 이목을 끌지 않으면서 맬웨어 등을 통해 비밀 정보를 얻어내고 이를 암시장에 판매하기도 한다.

APT 공격은 생각보다 훨씬 조직적이며 때로는 전담 직원에 의해 진행되기도 한다. 이들은 충분한 자금력과 기술력을 바탕으로 타깃을 공략하며, 정교하고 커스터마이징 된 소프트웨어를 사용하는 경우도 많다. APT의 예로는 제로 데이 공격, 피싱, 지능형 맬웨어, 각종 웹 공격 등이 있다. APT로부터 중요한 기업 정보를 지키는 5가지 원칙에 대해 알아본다. 어느 하나 빼놓을 것 없이 중요하다.

이미지 : Getty Images Bank

1. 다단계 방어 전략 구축
APT 공격을 막기 위해서는 네트워크 보안에 대한 (다단계 방어라고도 알려진) 다층적, 심층적 접근이 필요하다고 보안 전문가들은 강조한다. 사실 다단계 방어는 APT를 미리 예방함에 있어 최고의 전략이기도 하다. 다단계 방어에는 네트워크 엔트리 및 출구 포인트를 통제하고 차세대 방화벽을 이용하는 것, 침입 탐지/방지 시스템과 보안 정보 및 이벤트 관리(SIEM, security information and event management) 시스템의 운용, 강력한 인증 절차 및 신원 관리, 주기적인 보안 패치 업데이트 및 엔드포인트 보호 조치 등의 노력이 모두 포함된다.

보통 APT는 맬웨어를 통해 이뤄지므로 맬웨어 위험을 줄일 솔루션이 있어야 한다. 또한 첨단 테크놀로지로 무장한 APT 해커에 대응하기 위해서 보안 장비를 강화할 필요가 있으며 특히 강력한 행동 기반 위협 탐지 솔루션을 선택할 필요가 있다.

일차적인 목표는 네트워크 침투를 막는 것이지만 일단 네트워크가 뚫렸다 해도 단계별로 해커의 진입을 방해할 수 있는 장애물을 장치해 둠으로써 해커가 공격을 포기하게 만들거나 아니면 침입자의 존재가 발각될 때까지 시간을 버는 것이 요점이다. 공격자가 지속적으로 툴을 업그레이드 하고 타깃의 취약점을 찾기 위해 노력하는 것처럼, 기업 방패도 녹슬지 않게 업데이트 해줘야 한다.

- 참조: 2015년 한 해에만 APT 예방 솔루션에 19억 달러가 넘게 지출되었으며 2019년에는 그 액수가 67억 달러에 달할 것으로 전망된다. (더 래디컬 그룹(The Radical Group), 2015)

좋은 보안 솔루션이 반드시 비싼 것일 필요는 없다. 마이크로소프트의 EMET(Enhanced Mitigation Experience Toolkit)은 무료 윈도우 기반 보안 툴로써 기존의 보안 방어를 보충해 취약점 공격 시도를 탐지, 방해하는 역할을 한다. 인포섹 인스티튜트(InfoSec Institute)의 SecurityIQ를 이용하면 직원들에게 가짜 피싱 이메일을 보내 현재 직원들의 보안 의식 수준을 평가할 수 있다. 강력한 사내 규정과 정기적 보안 및 리스크 평가 역시 보안 체제가 잘 작동하고 있는지 알아봄에 있어 매우 중요한 절차들이다.

2. 위협 탐지 및 모니터링 테크닉 강화
로그 파일이나 데이터 트래픽상의 이상 징후가 없는지를 꾸준히 그리고 성실히 살피는 것만이 APT를 조기에 예방하는 길이다. 내부로 유입되는 네트워크 트래픽과 외부로 나가는 트래픽, 내부 트래픽, 그리고 네트워크에 액세스 하는 모든 기기들을 하나도 빼놓지 않고 모니터링 하는 것이 대단히 중요하다. 지속적인 모니터링을 통해 수상한 공격 시도를 조기에 발견할 수 있을 뿐만 아니라 권한 상승 및 장기 침입을 사전에 차단할 수 있다. 또한 궁극적으로 공격이 성공한다 해도 모니터링을 통해 얻은 결과는 공격에 대한 포렌식 증거로 이용될 수 있다.

3. 위협 지능 서비스 이용
새로운 공격의 로우 데이터(raw data)를 다양한 소스로부터 수집, 분석함으로써 활용 가능한 정보로 바꿔주는 위협 지능(threat intelligence) 서비스 벤더들이 늘고 있다. 주로 보안 통제 시스템에 대한 데이터 피드나 IT 매니저 및 C-레벨 경영자를 타깃으로 한 매니지먼트 리포트 형식을 취하는 이들 정보는 기업 운영자에게 업계 전반의 보안 현주소를 알려주는 기능을 하기도 한다. 위협 지능 서비스의 핵심은 세계적으로 발생하는 보안 위협 정보를 기관의 자체적 네트워크에 적용하여 실시간으로 리스크가 큰 위협을 식별하고 처리할 수 있도록 하는 데 있다.

APT가 확산되는 경로는 여러 가지가 있으며 아직까지 기업 보안 팀이 알지 못하는 취약점을 공략할 수도 있으므로 APT의 조짐을 최대한 빨리 캐치해 내는 것의 중요성은 아무리 강조해도 지나치지 않다. 위협 지능 서비스는 네트워크 로그 데이터 상의 변칙점과 제로 데이 취약점 같은 취약점 간의 연결 고리로서 기능할 수 있다. 위협과 취약점 사이의 연관성을 찾아내는 것이 가장 중요하다.


4. 보안 인식 교육 실시
IT 보안에 관한 논의에서 빠지지 않고 등장하는 것이 보안 인식 교육의 중요성이다. 이메일에 첨부된 수상한 링크를 클릭하는 것이 얼마나 위험한 행동인지, 그리고 소셜 엔지니어링 테크닉에 구체적으로 어떤 것들이 있는지를 교육시킴으로써(그리고 궁극적으로 보안을 둘러싼 해커와의 전쟁에서 직원들을 든든한 아군으로 훈련시킴으로써) 네트워크와 데이터를 안전하게 보호할 수 있다.

직원들을 대상으로 한 보안 교육에는 기관의 보안 정책, 그리고 직원들의 실수로 보안 사고가 발생했을 때 모든 직원이 겪게 될 결과들에 대한 내용도 포함시켜야 한다. 이를 위해서는 상황에 따라 부가적인 교육이나 인사과의 보고서가 요구될 수도 있다. 하지만 대부분 직원들은 실수하기를 원하지 않으며 특히나 자신의 실수 때문에 회사 전체의 보안이 위험에 빠지게 되는 것을 원하지 않기 마련이다. 보안 인식 교육을 진행하는 동안 긍정적인 측면을 부각시키고 보안 노력에 참여할 수 있는 동기를 부여 하는 것이 최선의 접근 방법이다.

5. 사고 대응 계획의 수립
아무리 비싼 테크놀로지로 무장하고 최선의 노력을 기울여도 보안 위협은 발생하게 되어 있다. 보안 전문가들은 공격이 ‘일어날 것인가’가 문제가 아니라 ‘언제’ 일어날 것인가를 생각해야 한다고 강조하곤 한다. 때문에 견고한 사고 대응 플랜을 세워놓아야만 공격이 발생했을 때 이를 즉각적으로 중지시키고, 데미지와 데이터 유출을 최소화 해 기업의 평판이나 브랜드 이미지가 실추되는 것을 막을 수 있다.

사고 발생시 어떤 직무를 맡은 누가 어떤 행동을 취할 것인가를 일일이 정해놓는 것 외에도, 위협 식별에서 해결에 이르는 전 과정에 걸쳐 침입에 관한 포렌식 증거를 보존할 수 있는 방법을 사전에 마련해둬야 한다. 향후 범인을 체포해 기소하려면 증거가 반드시 필요하기 때문이다. 범인이 잡히는 일은 별로 없지만 말이다.

포렌식은 또한 보안상의 허점을 발견하고 이 부분을 강화해 위협의 재발을 막는 기능도 한다. 록히드 마틴 사의 사이버 킬 체인(Cyber Kill Chain)을 리뷰 해 보는 것도 나쁘지 않은 생각이다. 사이버 킬 체인은 보안 사고 시 발생할 수 있는 상황을 각 단계별로 연출한 공격 모델이다. 공격자가 어떻게 타깃을 정하고 어떤 단계를 거쳐 공격을 감행하는 지 알게 되면 공격 초기에 이에 대처할 수 있게 된다.

규모가 큰 기업도, 작은 기업도 APT 공격에 예외가 아니다. APT가 발생하는 원인과 과정을 이해하고 최선의 방어선을 구축하는 동시에 수상한 맬웨어에 대해 직원들이 경계 의식을 갖도록 교육한다면 사고 발생 시 피해를 국소화 할 수 있을 뿐 아니라 경우에 따라서는 공격 자체가 발생하는 것을 예방할 수도 있을 것이다. ciokr@idg.co.kr