APT 대응 솔루션, 넓고 깊게 진화한다

넓게 봐야할까, 깊게 봐야할까.

오랫동안 준비 끝에 목표 대상으로부터 핵심정보를 빼가거나 시스템을 파괴하는 지능형지속가능위협(APT) 공격에 대응해야 하는 보안전문가들이 빠진 딜레마다.

의견은 엇갈린다.

우선 이메일 첨부파일 등을 통한 초기침투에서부터 내부 시스템에 심어놓은 악성코드, 이를 통한 시스템 모니터링, 해커가 통신하는 C&C서버 정보, 이후 공격흔적을 지우는 과정까지 일련의 흐름을 보고 필요한 대응을 해야한다는 쪽이다.

은닉 공격 탐지 및 대응을 전문으로 하는 나루시큐리티의 김혁준 대표는 앞으로 보안은 변화관리를 통해 접근해야 한다고 주장했다. 기존 보안솔루션들이 자신의 담당 분야에 대해서는 아주 정밀한 탐지, 대응을 보여주고 있지만 더 중요한 것은 내부망이 어떻게 변화하고 있는지 전체 흐름을 파악하는 것이라는 설명이다.

KISA에서 오랫동안 침해사고대응 업무를 수행하기도 했던 김 대표는 헤더 정보, HTTP, 트랜잭션, 전체 네트워크 플로 등의 정보로 내부망에 PC가 몇 대가 운영되고 있는지, 운영체제는 뭘 쓰고 있고, 외부와 통신이 지속되고 있는 시스 템이 뭔지, 알려진 악성코드와 알려지지 않은 악성코드가 뭐가 있는지 등을 종합해 정상적인 시스템과 비교해 어떤 부분에서 변화가 생기고 있는지를 관리할 수 있어야 한다고 말했다.

최근 공격자들은 암호화된 트래픽을 악용하는 것은 물론, 이란 핵시설을 마비 시켰던 스턱스넷과 유사한 수많은 변종이 그동안 탐지되지 않고 있다가 7년만에 정체를 드러내기도 했다. 넓게 보는 것 못지 않게 정상적으로 보이는 파일, 혹은 시스템 내부에서 실행되는 명령어에 대해 깊게 보는 전략의 중요성도 강조되고 있는 것이다.

시만텍에 따르면 '레진(regin)'이라고 불리는 악성코드는 사후분석을 방해하기 위한 안티포렌식 기능은 물론, 일반적으로 쓰이지 않는 RC5라는 암호화 방식과 암호화된 가상 파일 시스템(EVFS)을 동원했다. 때문에 보안전문가들 입장에서는 아주 적은 악성코드 정보만으로 분석을 수행해야 하는 어려움을 겪어왔다.(관련기사 : 은닉 기능 가진 악성코드 7년만에 발견)

지난해 발견된 산업 스파이용 악성코드로 '하벡스(Havex)'의 등장도 분석의 어려움을 가중시켰다. 데릭 맨키 포티넷 글로벌 보안전략가에 따르면 하벡스는 약 3년에 걸쳐 개발됐으며 68개 이상 개발 버전을 보유 하고 있다. 사이버 범죄자들이 여러 산업분야에 걸쳐 장기간 사이버 무기 개발에 투자하고 있다는 것이다.

외부로부터 유입된 파일이 내부 시스템에 직접 영향을 미치지 못하도록 가상화 환경에서 미리 이를 실행해보는 샌드박스 기법을 우회하는 공격기술까지 등장하고 있는 실정이다. 앞서 글로벌 보안회사들이 글로벌 센서를 통해 보안위협에 대한 정보를 수집, 공유하는 인텔리전스 시스템을 마련하는 것과 비슷하게 사이버 범죄 조직은 직접 전 세계에 설치된 악성코드가 제대로 작동하는지 여부를 파악해 알려주는 자체 인텔리전스 시스템까지 구축하기도 한다.(관련기사 : 해커 관점서 본 올해 보안위협 뭐가 있나)이전까지 범죄수사에 필요한 디지털증거분석에 활용됐던 디지털포렌식 기술이 일반 기업, 기관의 보안을 강화하기 위한 용도로 쓰이기 시작한 것도 이러한 흐름을 반영한 것이다.

류동주 한국정보보호시스템 대표는 APT 공격은 결국 사람과 접속망 사이에 발생할 수밖에 없는 구조적인 문제를 안고 있다며 내부망과 외부인을 넘나 드는 패킷에 대한 깊이 있는 분석(Deep Packet Inspection, DPI)이 우선돼야 한다는 강조했다. 아무리 망이 분리돼 있거나 여러가지 보안시스템을 갖추고 있더라도 내부 시스템과 이를 관리하거나 사용하는 사람 간 커뮤니케이션이 존재하는 한 APT 공격을 피하기 어려운 만큼 이들 간에 주고 받는 패킷에 대 한 더 세세한 분석이 필요하다는 의견이다.

깊게 보기 위한 새로운 방법 중 하나로 소프트캠프는 이메일에 첨부된 문서를 직접 실행하도록 하는 대신 내부에 포함된 텍스트, 이미지만 추출해 새로운 문서를 구성해 사용자에게 전달하는 기술을 개발했다.

일명 '문서 방화벽'이라고 불리는 이 기술은 지난해 이 회사가 출시한 '실덱 스(SHIELDEX)'를 이메일 서버 전용으로 구성한 것이다. 외부로 유입되는 파일 중 APT 공격에 가장 많이 악용되고 있는 이메일 첨부파일에 대한 보안에 집중 해서 나온 것이 '실덱스 포 메일'이다. 이를 통해 마이크로소프트 오피스 (doc), 아래아한글(hwp), 어도비가 제공하는 아크로뱃리더(pdf) 등에서 발견 된 취약점을 악용한 공격시도를 원천봉쇄하겠다는 것이다.

넓게 봐야하는가, 깊게 봐야하는가에 대해 정해진 답이 있는 것은 아니다. 중 요한 것은 기업, 기관 입장에서 어떻게 정보유출, 시스템 파괴라는 리스크로 인한 피해를 최소화할 수 있는가가 중심이 돼야한다는 것이다.

이와 관련 지난해 4월 방한한 피에르 노엘 마이크로소프트(MS) 아시아 담당 최고보안책임자(CSO)의 말에 주목할 필요가 있다.(관련기사 : MS 해킹당하면 안된다는 강박관념 버려라)

방호벽을 쌓고, 제발 적이 나타나지 않기를 빌어도 적은 나타납니다. 사이버 보안에서 중요한 것은 어떤 공격자도 못 들어오게 막는 것이 아니라 얼마나 빨리 손상된 시스템을 회복할 수 있는가(resillience)에 달렸습니다.

무조건 막아내야한다는 강박에 시달리기보다는 어떻게 하면 손상을 최소화하면서 정상적인 시스템으로 빠르게 복원할 수 있는가가 APT 공격 대응에 핵심 이라는 조언이다. MS의 경우 여전히 윈도 운영체제(OS)를 노린 가장 많은 보안위협에 노출되고 있다. 이에 대응하기 위해 2002년 빌 게이츠 주도로 '트러스트워디 컴퓨팅 (Trustworthy Computing, TwC)'이라는 별도 보안그룹이 신설돼 운영돼 왔다.

지난해 이 부서는 MS의 대규모 인력 감축으로 인해 클라우드 및 엔터프라이즈 사업부, 회사 법률 담당 부서(Legal and Corporate Affair)로 통폐합되면서 해체수순을 밟는 것 아니냐는 논란이 제기되기도 했다. 그러나 MS측은 소프트 웨어개발라이프사이클(SDL), 보안대응업무, 침투테스트, 마이크로소프트보안사고대응팀(MSRC) 은 그대로 유지한다는 방침이다.