지능적이며 치밀한 APT 공격

APT 공격 빅데이터로 대응하다

영화를 보면 해커가 사이버 공격으로 전력설비를 마비시키거나 국가 중요시설을 장악하는 장면이 나온다. 이런 일이 현실에서도 일어날 가능성이 커지고 있다. IT의 발달과 함께 가능해진 일이다. 과거 사이버공격은 그리 대단하지 않았고 컴퓨터를 고장내는 수준이었다. 바이러스 혹은 해킹 역시 사람을 골탕 먹이기 위한 목적이 많았다. 그러나 지금은 예전과 달리 사이버 공격이 치밀해지고 있고 파급효과도 과거와 비교할 수 없을 정도로 크다. 특히 사이버 공격유형 중 APT(Advanced Persistent Threats) 공격이 있는데, 많은 국가들과 기관들이 이 앞에 속수무책이다.

암과 같은 공격 APT

APT 공격은 ‘암’과 같다. APT가 심은 파일이 해당 PC를 공격하면 증상이 바로 나타나지 않는다. 마치 암과 같이 잠복해 있는다. 감염된 PC에 잠복하면서 중요 정보를 유출한다. 또는 감염된 PC에 잠복해 있다가 중요서버에 접근까지 기다렸다가 서버를 감염시킨다. 그런 다음 서버의 정보를 해킹하는 것이다.



APT 공격방식은 치밀하다. 전략적으로 목표인 PC 혹은 서버를 감염시킨다. APT 공격은 지능적이고 지속적이다. 그리고 다른 사이버 공격들과 달리 공격의 동기와 목표가 명확하다. APT 공격방식은 크게 여섯 단계(사전조사 → Zero-Day 공격 → 사회공학 → 은닉 → 적응 → 지속)를 거친다. PC에 잠복해서 아무도 모르게 정보를 유출하는 것이 APT 공격의 특징이다. 최근 발생한 한수원의 보안사고가 APT 공격 사례다. 한수원 보안 사고 외에도 국내외 여러 차례 APT 공격들이 있었다.

APT 공격사례

영국의 RBS 은행의 월드페이 시스템 침입사례가 대표적이다. 사건이 일어난 2003년 당시 APT공격은 영국 RBS 은행 시스템의 신용카드 정보를 유출해 복제카드를 만들고 신용카드 한도를 높이는데 사용됐다. 해커들은 두시간 동안 미국, 러시아, 우크라이나, 에스토니아, 이탈리아, 홍콩, 일본, 캐나다 등 전 세계 49개의 도시의 2100개 기기에서 약 950만 달러를 인출했다.

사건 확인 결과 해커들은 네트워크에 접속해 암호화한 방화벽을 뚫고 카드번호와 패스워드 알아낸 뒤 이를 은폐하기 위해 시스템 데이터를 파괴했다. 이 공격으로 서버에 저장돼 있던 150만 명의 카드 이용자 개인정보와 금융정보, 100만 명이 넘는 사람들의 사회보장번호가 유출됐다. 또 다른 사례로는 모건 스탠리(Morgan Stanley)에서 발생한 ‘오로사 사건’이 있다. 2010년 1월 구글과 모건스탠리가 해킹을 당해 중요 정보를 도둑맞은 사건이 있었다. 이 공격은 2009년 6월에 시작해 6개월 기간 동안 200여 개 이상의 회사를 대상으로 지속됐다. 조사 결과 중국의 서버를 이용한 공격으로, 규모가 큰 첨단 정보통신 사업체가 구글 등을 대상으로 기업의 중요 문서를 탈취할 목적으로 해킹한 것이었다. 이 과정에서 마이크로소프트(MS)의 인터넷 익스플로러 제로데이의 취약점이었던 MS10-002를 악용한 것으로 밝혀졌다. 안티바이러스도 탐지하지 못하도록 특별히 제작한 원격제어 형태의 악성코드도 공격에 이용되었던 것으로 추가 조사됐다.

이외에도 발전시설을 공격하여 한수원처럼 국가에 치명적인 위협을 가한 사례가 있다. ‘스턱스넷 사고’가 대표적이다. 2010년 7월에 이란의 원자력 발전시설을 마비시킨 공격이 발생했다. 이 사건으로 발전시설의 원심분리기 중 20%가 가동을 중단했다. 스턱스넷의 공격은 독일의 지멘스사의 산업자동화 제어시스템 SCADA의 소프트웨어를 공격대상으로 했고 내부망인 SCADA를 공격하기 위해 USB에 감염되도록 했다.

원자력 발전소 내부에서 다른 시스템으로 유포하기 위해 기존에 알려진 MS08-067 취약점과 함께 패치가 없는 MS의 4개의 제로데이 취약점을 사용했다. 또한 훔친 디지털 전자인증서로 서명한 컴포넌트를 사용하는 등 상당한 고도공격 기술을 이용한, 대표적인 APT 고도 공격사례이다. 국내의 경우에는 대표적으로 농협 대란이 있다. 2011년 4월 농협 전산망에 있는 자료가 대규모로 손상돼 서비스가 마비되는 사건이 벌어졌다. 이 사건은 농협 외주업체 직원이 2010년 9월, 커피숍에서 받은 웹하드 무료 다운로드 쿠폰을 이용해 업무용 노트북에서 영화를 다운로드 받다가 해당 노트북이 악성코드에 감염되면서 일어났다. 업무용 노트북에는 7개월 가량 각종 악성코드가 잠복해있으면서 최고위 관리자의 비밀번호 등 각종 중요정보들을 탈취했다. 그 뒤 2011년 4월 1일에 공격명령 파일을 설치 한 뒤 공격명령을 실행해 농협의 전산을 마비시킨 것이다. 이외에도 네이버, 싸이월드, 현대캐피탈, SK 커뮤니케이션즈 등에서 APT 공격 피해를 입었다.

앞서 살펴봤듯이 APT로 인한 피해사례가 많이 있다. 그리고 APT 공격으로 인한 피해규모는 어마어마하다. 따라서 세계적으로 APT 공격에 대응하려는 움직임이 보이고 있다.

APT 공격 대응에 핵심은 빅데이터

시스템에 침투하기 위한 악성코드의 수는 어마어마하게 많다. 시스템을 해킹하기 위해 해커들은 계속해서 악성코드를 만들어 유포하고 있다. 이처럼 다양하고 많은 악성코드들을 보안시스템이 모두 탐지해 차단하기란 불가능하다. 기존 악성코드 유형들을 시스템에 등록하는 방식이어서 신종 악성코드가 시스템에 접근할 때 보안시스템은 이를 인지하지 못한다. 시스템은 신종 악성코드에 뚫릴 수밖에 없다.

신종 악성코드를 개발할 필요 없이 기존 악성코드만을 가지고 시스템에 침투하는 것도 가능하다. 많은 악성코드들을 일일이 시스템에 등록하기는 어렵다. 따라서 해커가 여러 악성코드들을 가지고 시스템에 접근을 할 경우 시스템에 등록되지 않은 악성코드에 의해서 뚫릴 수 있다. 이러한 문제점을 해결하기 위해 보안솔루션 기술에 빅데이터 엔진을 도입하는 흐름이 강해지고 있다. 기존 악성코드를 솔루션에 업로드를 하는 방식이 아니라 빅데이터 엔진을 활용해 수상해 보이는 시스템이 접근할 시 미리 차단하는 것이다.

솔루션마다 빅데이터 엔진을 활용하는 방식이 약간씩 다르긴 하지만 빅데이터 엔진을 활용하여 사이버공격 패턴을 분석하여 유사한 증후가 발견되면 이를 차단하는 방식이다. 신종 악성코드를 생산하여 시스템에 침투하더라도 빅데이터 엔진을 활용한 보안 시스템은 이를 감지하여 차단 할 수 있다. 보안시스템에 등록되지 않은 악성코드 침투도 마찬가지다.

그러나 정확하게 사전에 악성코드를 탐지하는 것은 빅데이터 기술만으로 부족하다. 그렇기 때문에 학습프로그램과 통합하여 공격행위들을 탐지하고 패턴들의 DB정보를 모아서 시스템을 스스로 업데이트 해나갈 수 있다. 이런 학습방법에는 크게 두 가지가 있다. 하나는 ‘감독학습’이고 다른 하나는 ‘비감독학습’ 이다. 감독학습은 해당 자료에 대한 지식을 기반으로 학습하는 방법을 의미한다. 비감독학습은 해당 자료의 지식 없이 스스로 학습하는 방법이다. 두 학습방법을 비교해보면 감독학습법이 비감독학습법에 비해 정확도가 높으나, 새로운 유형의 공격감지에는 비감독학습법이 효과적이다.

이와 같이 빅데이터 기술을 활용하여 APT 공격을 사전에 예방하는 기술이 개발 되고 있다. 그리고 이미 여러 보안 업체에서 APT 공격솔루션 출시를 눈앞에 두고 있다. 보안업체들의 APT 보안솔루션 기술들을 살펴보면 다음과 같다. 파이어아이는 시그니처 기술을 기반으로 탐지하지 못한 공격들을 정확히 탐지, 차단하는 기술인 MPS(Malware Protection System)을 선보였다. 트렌드마이크로는 네트워크 행위를 기반으로 의심스러운 기술을 출시할 예정이다. 안랩은 클라우드 기반의 사전분석 기술을 활용해 APT 공격을 정확하게 탐지할 수 있는 솔루션을 출시할 예정이다.