APT 공격유형과 대응방안

출처: 보안뉴스

 

Q. APT 공격 대응 솔루션이 나오기 전에는 악성코드 탐지 및 예방 솔루션, 좀비PC 탐지 솔루션 등이 있었고 APT 공격이 이슈가 되면서 현재의 APT 대응 솔루션들이 나왔습니다. 이러한 APT 대응 솔루션들이 이전 다른 솔루션들과 비교해 차별화된 점은 무엇이며, 최근 APT 공격유형과 이에 적절한 대응방안은 무엇인가요?

 

A-1. 기존에는 악성코트 탐지, 침입시도 탐지 등의 특정 기능에 포커스되어 있었다면 APT 솔루션들은 기존 개별 보안 솔루션들의 통합버전이라 할 수 있습니다. 대표적인 차별점으로는 ‘동적분석’과 ‘상관관계 기반의 위협정보 검증’을 강화했다는 점을 들 수 있는데, 최근 APT 공격 대응 솔루션은 실시간으로 네트워크 상에 오가는 파일에 대한 동적분석 기능을 더욱 강화해 나가고 있으며, IP 및 도메인 등에 대한 위험 여부를 판단할 때 평판기반으로 축적되어 있는 데이터와의 비교를 통해 위험성을 판단해나가는 것이 특징입니다.

 

한편, APT 공격의 주요 시작점이 되는 직원 PC, 웹서버 등 엔드포인트에 대한 모니터링 필요성이 커지면서 엔드포인트 APT 대응 솔루션들이 부각되고 있습니다. 엔드포인트에서 전개되는 공격과정을 실시간 기록 및 분석해야 되기 때문에 해커가 인지하지 못하도록 Stealth 방법을 사용하면서 악성행위를 탐지해 내는 기술이 필요합니다.

 

(황보성 한국인터넷진흥원 팀장/hbs2593@kisa.or.kr)

 

A-2. 네트워크단에서 분석하느냐, 엔드포인트단에서 분석하느냐

 

APT 솔루션은 크게 두 가지 종류로 나눠 생각할 수 있습니다. 악성코드 분석을 네트워크단(Network Level)에서 하는지, 아니면 엔드포인트단(Endpoint Level)에서 하는지. 네트워크단에서 악성코드를 분석한다는 것은 어플라이언스 형태로 사내 인프라에 유입되는 파일들을 샌드박스, 즉 가상머신(VM)에서 분석한 뒤 이상 유무를 점검하는 것을 의미합니다.

 

이 형태의 솔루션들은 악성파일로 의심되는 파일을 가상의 공간에서 실행시켜 실제 악성행위를 하는지 관찰합니다. 앤드포인트단의 악성코드 분석은 백신(AV)과 동작방식이 비슷합니다. 사용자 PC에 설치돼 악성행위를 하기 전에 직접 탐지, 차단, 치료를 합니다. 이 둘을 결합한 형태도 있습니다. 네트워크단에서 우선적으로 차단하고 사용자PC에 설치된 에이전트로 추가 탐지, 치료를 하는 형태입니다.

 

네트워크 제품의 장단점은?

 

네트워크단에서 알려지지 않은 악성코드를 탐지하는 APT 솔루션은 구축이 간편하고 관리가 수월하다는 장점이 있습니다. 네트워크 인프라 앞단에 어플라이언스가 설치되는 방식이기 때문입니다. 또 의심되는 파일을 가상환경에서 돌려봄으로써 본래 시스템에 대한 피해를 최소화할 수 있습니다. 하지만 단점도 존재합니다. 물리저장매체 등을 통해 전염된 악성코드에 대해 탐지가 불가능하며, 이에 대한 치료도 할 수 없습니다. 아울러 최근 등장한 ‘가상머신 상황을 인지해 악성행위를 하지 않는 악성코드’에 대한 탐지를 할 수 없으며, 일부 솔루션의 경우 실행파일(Execution File)만 차단할 수 있는 한계점도 있습니다.

 

엔드포인트 제품의 장단점은?

 

엔드포인트 제품의 가장 큰 장점은 실제 사용자PC에 감염된 악성파일의 행위를 기반으로 차단, 치료하기 때문에 제대로 구축될 경우 가장 안전한 방식이 될 수 있다는 점입니다. 가상머신에서 탐지되지 않는 악성코드, 가상사설망이나 시큐어 소켓 레이어(SSL)로 암호화돼 유입된 파일 등도 결국 악성행위를 위해 사용자 PC에서 복호화되는데, 이때 일망타진하는 방식입니다.

 

네트워크 제품보다 저렴하고 다른 솔루션과 연동이 수월하다는 장점이 있으나 관리에는 다소 어려움이 있을 수 있습니다. 반대로 악성행위에 대한 정의가 완벽하지 않을 경우 악성코드를 제대로 잡아내지 못할 수 있다는 점이 가장 큰 단점입니다. 이는 오탐으로도 이어지거나 악성코드가 시스템 전체로 확산될 수 있습니다.

 

일반적인 형태와는 다른 네트워크 포렌식 제품도 있다?

 

앞서 소개한 두 종류의 솔루션은 악성코드를 어디서 탐지하는지에 초점이 잡혀있습니다만, 지금 소개하는 것은 네트워크 포렌식, 즉 네트워크 패킷 전수조사 제품입니다. 이 제품들은 네트워크 패킷 전부를 캡쳐, 분석합니다. 정상적인 패킷이 아닐 경우 이를 차단해 보안위협을 방지합니다. 최근에는 애플리케이션 레이어(L7)의 패킷까지 모두 분석해 악성파일이나 이상 애플리케이션을 탐지하는 기능도 추가된 상황입니다.

 

광의의 네트워크 포렌식 제품이라 할만한 몇몇 외산제품의 경우 내부로 유입되거나 외부로 유출되는 네트워크 패킷을 전수 조사하기 때문에 APT를 비롯한 다양한 보안위협에 대응할 수 있다는 장점은 있으나, 반대로 어마어마한 데이터로 인해 성능과 비용적인 이슈가 있는 것도 사실입니다. 이러한 이유로 관련 업체들은 빅데이터 분석 등 실시간 처리가 가능한 알고리즘 개발에 총력을 다하고 있습니다.

 

앞으로 APT 솔루션의 진화방향은?

 

사실 부제에 대한 답은 이미 나와 있습니다. 앞으로 APT 솔루션은 네트워크 제품과 엔드포인드 제품의 장점을 서로 결합하고 단점을 보완하는 형태로 진화할 것입니다.

 

(홍준석 한국산업기술보호협회 관제운영팀 팀장/jun0817@kaits.or.kr)

 

A-3. 네트워크 기반의 APT 장비 네트워크 트래픽에서 이상정보를 VM 환경에서 분석후 정책을 반영해 차단하는 방식으로 이상 탐지되는 패턴을 만들기 위해 관리자들이 이상 탐지되는 악성코드를 업데이트 해서 패턴을 만들어야 하므로 운영자의 역량이 필요합니다. 각 엔트포인트(End Point)에 Agent를 설치해 수집된 정보를 VM환경(클라우드 환경) 분석을 통해 수집하고 차단하는 방식입니다.

 

정보수집을 하게 되는 End Point 기술 역량이 낮기 때문에 End Point에서 수집하 는 Agent의 성능에 따라서 수집되는 정보가 달라질 수 있는 구조입니다. 즉, 에이전트의 수집능력과 VM 환경의 분석능력이 낮아진다면 탐지능력도 같이 낮아지는 단점이 존재합니다.

 

(박찬주 노브레이크 수석/root.mahanaim@gmail.com)

A-4. 근래 APT 방어 솔루션은 기존의 악성코드 탐지에 비중을 두었던 다른 솔루션 과는 달리 행위기반의 분석에 중점을 두고 있습니다. 이는 근래의 APT 공격이 주로 특정 타깃을 정하고 메일 또는 SNS 기반으로 전파되고 있기 때문입니다. 그러다 보니 기존의 패턴 기반의 보안 솔루션으로는 방어가 어려운 상태이며 모든 파일 및 URL에 대한 전수조사가 필요한 상태입니다. 이러한 전수조사를 위해서는 가상화 기반의 행위 분석 시스템이 필요합니다. 국산 제품의 경우 아직은 가상화 기반 기술력 부족으로 인해 전체적인 성능이 떨어져 대량 분석에는 외산장비가 주로 사용되고 있습니다.

 

A-5. APT 대응 솔루션은 샌드박스 기술을 활용해 악성코드 직접 실행 등을 통해 이상행위 탐지하는 기능이 가장 차별화된 점이며, 효과적인 방어를 위해서는 APT솔루션 구축 뿐만 아니라, 기 구축된 보안시스템에서 축적된 보안이벤트(로그)의 상관관계를 분석하거나 보안관제 고도화 등 다각적인 방어체계를 구축하는 것이 중요합니다. 일부 기업에서는 네트워크 포렌식이나 SIEM 등의 제품과 병행해 APT공격을 대응하고 있습니다.

 

(강정훈 11번가/jhkang@sk.com)

 

A-6. 표적 공격(Target Attack)과 APT(Advanced Persistent Threat) 공격은 모두 기술이나 기법을 의미하기 보다는 공격의 유형이나 방법을 의미합니다. 그럼 표적 공격과 APT 공격의 차이는 무엇일까요? 표적 공격은 APT 공격보다 이전에 나온 개념으로 불특정 다수가 공격 대상이었던 이전과 다르게 특정 개인이나 조직을 대상으로 한 공격으로 2000년도 중반에 많이 발생했습니다.

 

표적 공격은 특정 대상을 선정해 공격하는 행위로 보통 피싱 메일, 피싱 메시지, 제로데이 취약점 등을 이용합니다. APT 공격은 표적 공격이 발전한 것으로 특정 대상이 목적이기 보다는 좀 더 구체적으로 대상의 특정 데이터 혹은 특정 피해를 목적으로 합니다. 표적 공격보다 목적이 구체적이다 보니 보다 많은 시간이 소요되고, 목적을 이루는 동안 발각되지 않기 위해 고급 기법을 주로 사용합니다. 얼마 전까지만 해도 APT라는 용어가 생소했지만 기존 공격보다 이슈 거리가 많다보니 최근에는 널리 일반화되었습니다.

 

공격을 막을 수 없다면 어떻게 해야 할까요? 막을 수 없다면 첫째, 가능성을 최소로 낮추고, 둘째 공격 인지 시 신속한 대응으로 피해를 최소화 해야 합니다. 정책 측면에서는 획일화된 정책으로 예외사항 축소, 정책위반 패널티 적용, 비업 무용 프로그램 차단 등이며, 솔루션 측면에서는 Unknown 악성코드 탐지, Web및 응용프로그램 차단, IPS, IDS, WAF, WIPS 등을 복합적으로 사용하고 인적 측면에서는 악성코드 지식을 보유한 분석능력 보유 인력의 활용으로 복합적으로 혼용해야 합니다.

 

과거의 APT 대응 솔루션은 주로 시그니처나 행위 둘 중 하나에만 중점을 둔 분석엔진을 사용했습니다. 이러한 방식은 처리해야 할 데이터의 크기가 증가하고 알려지지 않은 악성코드의 수가 급격히 증가함에 따라 데이터처리와 분석에 관한 많은 한계점이 발견되었습니다. 최근 APT 보안 솔루션들은 이러한 한계점을 극복하기 위하여 클라우드를 이용해 대용량의 악성코드 관련 정보를 효과적으로 처리하고 있으며, 가상화 기반 기술을 사용하여 제로데이와 같은 취약점들을 탐지하고 있습니다. 이는 사이버보안 기술이 다른 IT 기술의 발전과 서로 영향을 주고받는 주요 사례로 평가받고 있습니다.

 

(안상수 ISMS인증심사원·ISO27001선임심사원/ssahn@nuriins.com)

 

A-7. 이전의 APT 대응 솔루션은 Client PC단에서의 보안에만 집중했다면, 최근의솔루션들은 N/W 트래픽, 외부와 연결된 시스템에서 들어오는 파일들에 대해서도 모두 관리하는 기능을 갖춘 것이 차이점이라 할 수 있습니다. 일반적으로 APT 공격은 특정기관을 공격하려는 목적으로 시행되는 것이라 알려져 있지만, 꼭 특정기관/기업만을 노리고 공격하진 않습니다. 주로 빈번하게 나타나는 APT 공격 유형은 메일 또는 웹하드 등을 통해 다운로드하면서 사용자들에게 악성코드를 배포하고 감염된 PC와 사용자의 정보를 수집한 후 중요 인물의 계정을 탈취하여 내부시스템에 접근하는 방식입니다.

 

이처럼 APT 공격은 누구나 감염될 수 있고 기업/기관의 많은 구성원 중 1명만 감염되더라도, 감염된 PC의 사용자가 접근 가능한 모든 정보가 유출되거나, 내부 시스템이 파괴되는 사고까지 일어날 수 있습니다. 이러한 APT 공격에 대응하기 위해서는 Client/Server 등 내부 시스템과 연결되어 내부로 들어오는 모든 파일들에 대해 악성코드를 탐지하고 악성코드가 발견되지 않아 외부에서 내부로 유입된 파일들도 내부에서 이상행위를 하지 않는지 감시해야 합니다.

 

(조태희 소프트캠프 R&D 기획조정실 차장/thcho@softcamp.co.kr)

 

[김태형 기자(boan@boannews.com)]