'지능형지속가능위협'에 해당되는 글 1

  1. 2012/10/15 [2012 보안솔루션①] 지능형지속가능위협(APT) 대응 솔루션


최근 APT(지능형지속가능위협) 공격이나 타깃공격의 대상이 정부기관이나 대기업을 넘어 중소기업도 표적이 되고 있다. 한동안 조용했던 APT 공격이 보이지 않는 곳에서 여전히 성행하고 있다.

시만텍 2012년 상반기 표적공격 동향 보고서를 살펴보면 중소기업을 겨냥한 표적공격이 18%에서 36% 이상으로 급증했는데, 소기업의 경우 지능적인 사이버 공격을 감시할 전담 IT 인력이 부재해 협력관계에 있는 대기업을 겨냥한 표적공격의 전초기지로 삼기가 수월하기 때문으로 보인다.

시만텍 분석에 따르면 2012년 상반기 표적공격은 2011년 12월 하루 평균154건이 발생해 최고 기록을 갱신한 후 올 1월 잠시 소강상태를 보이다가 2월부터 다시 예년 수준을 회복했다.

특히 올 6월에는 이란과 중동지역에서 국가 기간시설에 침투해 중요 정보를 빼돌려온 악성코드 ‘플레이머(W32.Flamer/플레임)’가 발견돼 충격을 주기도 했다. ‘플레이머’는 2010년 ‘스턱스넷(Stuxnet)’, 2011년 이와 유사한 ‘듀큐(Duqu)’, 전세계 화학 및 방산업체를 공격한 ‘니트로(Nitro)’ 등과 같은 APT 공격이다.

상황이 이렇지만 APT 공격은 여전히 막기가 힘들다는 것이 업계의 공통된 의견이다.

APT는 제로데이 공격과 사회공학적 기법 등 일반적인 해킹과는 다른 지능적인 공격 기법을 사용하기 때문이다. 최근 시장에 출시된 대부분의 보안 솔루션들은 샘플(시그니처) 기반이기 때문에 알려지지 않은 악성코드나 멀웨어를 잡아낼 수 없다는 것이 가장 큰 이유다.

지난해 APT 공격으로 인해 많은 기업들이 몸살을 앓았다. EMC RSA, 소니컴퓨터엔터테인먼트, 엡실론 등 해외기업을 비롯해 농협, SK커뮤니케이션즈, 넥슨 등 국내기업들도 APT 공격을 당하며 수 천만건의 개인정보와 기업정보를 유출시켰다.

APT는 다양한 기법이 사용된 공격이지만, 악성코드를 웹, 메일, FTP 등을 통해 유포시키는 것에서 시작한다.

뒤집어 해석하면 APT 공격은 인터넷을 통해 어떤 패킷과 데이터가 오가는지를 모니터링하고 차단할 수 있다면 방어할 수 있다는 의미다.

그러나 이는 생각보다 쉽지 않다는 것이 보안 전문가들의 의견이다. 현재까지 악성코드를 차단하기 위한 다양한 솔루션이 나와 있지만 제로데이 공격, 알려지지 않은 악성코드가 유입될 경우에는 속수무책으로 당할 수밖에 없다.

매일 1초에 8개의 신종 악성코드가 만들어지고 유포된다는 조사결과도 APT 공격의 위험성을 나타내는 수치로 볼 수 있다.

막기 힘들다는 APT 공격. 그러나 이제는 상황이 변하고 있다. 클라우드와 가상화 기술의 발달로 인해 악성코드로 의심되는 파일을 직접 구동시켜본 뒤 이를 격리·치료할 수 있는 솔루션 등이 나오기 시작했다.

실제 지난 2월 미국 샌프란시스코에서 열린 RSA 컨퍼런스에서 국내 보안업체인 안랩을 비롯해 파이어아이, RSA 등의 업체들이 가상화 기반 APT 대응 솔루션을 선보여 눈길을 끌었다.

RSA 컨퍼런스 이후에도 APT 대응 솔루션은 연이어 나왔다. IBM, HP, 체크포인트, 트렌드마이크로, 포티넷 등 글로벌 업체은 APT, 클라우드 보안에 초점을 맞춘 솔루션을 내놨으며, 국내에서도 하우리, 윈스테크넷 이 APT 공격에 특화된 솔루션을 내놨다.

이들 업체들의 공통점은 기존 안티멀웨어(Anti-Malware), 안티바이러스(Anti-Virus) 솔루션들이 사용하는 샘플, 시그니처 기반 기술을 사용하지 않고 행위기반으로 탐지하는 기술을 채택했다는 점이다.



앞으로도 행위기반 기술은 더욱 발전될 것으로 보인다. 이상징후를 사전에 파악해 차단하는 기술이 널리 보급된다면, 제로데이 공격(zero day attack)과 APT 공격은 사라지지 않을까 기대해본다.


2012/10/15 09:22 2012/10/15 09:22