지능형 지속가능 공격(APT)피해 속출에 보안업계 대응책 논의가 시급해졌다. 보안 공격을 우회하는 것은 물론 사용자가 장기간 피해사실 조차 알지 못해 피해가 커지는 사례가 속출하고 있기 때문이다. 사용자가 APT공격에 사용되는 악성코드 감염 사실을 알지 못해 PC에 최장 670일을 잠복한 경우도 있었다는 충격적인 결과도 나타났다.
21일 관련업계는 올해 발생한 대부분의 해킹 피해가 보안 기술을 우회한 APT공격에 의해 발생한 것으로 분석하고 있다. 사상 초유의 전산망 마비 사태로 기록된 농협과 개인정보 유출 피해로 곤혹을 치른 네이트 사태가 대표적이다. 기존의 보안 기술로만 공격을 막을 수도 없어 더욱 문제로 지적되고 있다.
■APT공격 실체는 뭐? 정의도 아직 '모호'
그 동안 관련업계에서 조차도 APT 정의 자체가 모호해 방어할 수 없거나, 새로운 공격기법이 나타나면 일단 APT공격으로 규정해왔다는 설명이다. 이에 지난 16일부터 양일 간 열린 ‘제15회 해킹방지워크샵’에서도 특정 타깃의 주요 정보 획득을 목적으로 지속적 공격하는 APT에 대한 패널토의에서도 논의의 장이 마련됐다.
조시행 안철수연구소 연구소장(상무)은 “보안업체 입장에서는 백신에서 진단되지 않는 악성코드로 사회공학적인 기법을 이용하는 것으로 보고있다”고 APT의 정의를 밝혔다.
그러나 조 상무는 APT의 타깃형 공격 특성에 대해서는 다른 의견을 내놨다. 조 상무는 “공격자 입장에서 생각해보면 특정 기업이나 대상만을 타깃으로 해 정보를 수집하지는 않을 것”이라면서 “큰 범위를 점차적으로 좁혀나가는 과정에서 해커들이 최종 타깃을 결정해 공격하는 형태로 분석된다”고 말했다.
성재모 금융보안연구원 본부장은 “APT공격은 얼마만큼 피해를 입었는지 파악하기 어렵기 때문에 기존 타깃공격 시에 빠져나가는 정보 이상으로 기업의 경우 지속적으로 정보가 빠져나간다”며 “문제는 모두 정보가 빠져나간 후에야 피해 사실을 알 수 있어 기존 타깃공격과 달리 APT공격은 복합적인 이유가 포함된 공격이다”고 말했다.
■보안 우회하는 APT공격에 관련업계 ‘당혹’
관련업계가 APT공격을 우려하는 이유는, 공격자들이 보안책에 대해 모두 꽤뚫어 보고 우회기법을 이용해 공격하기 때문이다. 시만텍 보고서에 따르면, 최장 670일 동안 악성코드가 잠복한 것으로 보고됐다. 또한 평균적으로는 4개월 이상 공격이 이뤄지는 것으로 나타났다.
조시행 상무는 “장기간 잠복기를 거치는 APT공격의 경우에는 일반적으로 하나의 악성코드만 사용하는 경우는 없다”면서 “공격자가 지속적으로 악성코드를 변조시키거나 교체해 시스템에서 쓰는 보안 솔루션을 파악해 진단되거나 탐지되지 않도록 해 공격을 진행한다”고 설명했다.
일단 해커들이 보안 우회기법을 활용한 공격을 감행하기 때문에 관련업계는 당혹스런 상황이다. 계속해서 취약점을 찾고 이 취약점을 이용해 사용자도 알지 못하는 사이 피해가 발생하기 때문이다. 이것이 산업기반시설이나 국가 공공시설일 경우에는 더욱 심각하다.
조원영 시만텍코리아 상무는 “하루에만도 75만개 정도의 악성코드가 생성된다”면서 “초당 8개씩 만들어지는 악성코드를 기존에 시그너처 기반 기술로만은 탐지가 어려운 상황이기 때문에 현재의 구조로는 한계점이 있다”고 말했다.
관련기사
- APT공격 뭐길래? '갑론을박'2011.11.21
- 인포섹, APT공격 특화 보안관제서비스 출시2011.11.21
- 해킹, 'APT공격'과 '표적공격'의 차이는?2011.11.21
- APT 공격 증가, '정보 중심적 접근'이 열쇠2011.11.21
관련 전문가들은 언제 어느 곳에서 공격이 발생할지 모르기 때문에 모든 소프트웨어에 대해 행위를 체크할 필요성도 제기했다. 다양한 보안 위협에 대응하기 위해 사용자의 모든 행위를 관리할 수 있는 로그체크가 필수란 것이다.
조시행 상무는 “국내에는 가이드라인만 지키면 모든 죄가 면책되는 문화가 비일비재하다”면서 “가이드라인은 최소한의 보안책인 만큼 이 외에도 민관협력 등의 공조체계 조성과 정보공유는 물론이고 관련업계에서도 새로운 공격에 대응하기 위한 기술연구에 더욱 박차를 가해야 할 것”이라고 말했다.
