[용어로 보는 IT] APT 공격 (블로터)

트위터나 페이스북 같은 사회관계망서비스(SNS)를 이용하는 직장인 ㄱ씨는 어느날 자신이 평소 애용하던 음악 서비스와 관련해 e메일을 받았다. 즐겨찾는 서비스인 탓에 ㄱ씨는 별다른 의심 없이 e메일을 열어봤다. 그로부터 약 3개월 뒤, ㄱ씨가 다니는 회사의 고객 정보가 대규모 유출되는 보안 사고가 발생했다. 해커가 음악 서비스 관련 e메일로 위장해 ㄱ씨의 컴퓨터에 침입했던 것. 잠복하면서 때를 기다리던 해커는 적당한 시점이 되자 고객 정보를 모두 빼내갔다.

이처럼 다소 황당해 보이는 공격이 실제로 우리 주변에서 발생하고 있다. 해외에서는 ‘룰즈섹’이나 ‘어노니머스’ 같은 해커 단체가 FBI, CIA, 소니와 같은 특정 조직을 겨냥해 개인정보나 기밀을 유출한 사례가 보고됐다. 비슷한 시기에 국내에서는 인터넷쇼핑몰과 은행을 노린 해킹 사고가 발생했다. 2013년 3월20일에는 방송사와 금융사 전산망이 일시에 마비된 사건도 있었다. 이들 피해의 공통점은 하나다. 모두 차세대 보안위협으로 지목되고 있는 ‘지능적 지속 위협(Advanced Persistent Threats, 이하 APT)’ 공격을 당한 것이다.

APT 공격 경로. 정보수집, 침입, C&C서버 통신, 확산, 데이터 접근, 데이터 유출 과정을 거친다.

때를 기다리는 숨바꼭질형 악성코드

APT는 기존 표적공격처럼 목표로 삼은 기업 관계자에게 몰래 접근한 뒤 바로 데이터베이스(DB)에 접근해서 정보를 빼내가지 않는다. 오히려 때를 기다리면서 회사와 관련한 모든 정보를 천천히 시간을 들여 살펴본다. 그리고 흔적을 남기지 않고 은밀히 활동하면서 회사내 보안 서비스를 무력화시키고 유유히 정보를 유출해 달아난다. 정보가 유출된 시점도 곧바로 드러나지 않는다. 흔적을 꼼꼼히 지우면서 들키지 않게 조심스레 공격하기 때문이다. 공격을 당하는 기업이나 기관이 한참 뒤에야 해킹 사실을 알게 된다.

APT는 공격 당하는 입장에선 정말 골치 아픈 보안 공격이다. 우선 APT 공격은 지능적(Advanced)이다. 제로데이 취약점이나 루트킷 기법과 같은 지능적인 공격기법을 동시다발적으로 이용해 표적으로 삼은 대상에 은밀히 침투한다. 제로데이 취약점은 프로그램에 문제가 알려지고 난 후 보안패치가 나올 때까지 시간차를 이용해 공격하는 기법을 말한다. 보안패치가 나오기 전이기에 서버는 공격 앞에 무방비로 노출된다. 루트킷 기법은 컴퓨터 운영체제가 구동되기 전 윈도우 컴퓨터의 마스터 부트 레코드(MBR)를 변경해 컴퓨터에 대한 통제권을 획득하는 기법이다. MBR를 변경하면 보안 소프트웨어 탐지가 어렵다. 대부분의 APT 공격이 제로데이 취약점과 루트킷 기법을 이용한다.

APT 공격은 또 지속적(Persitent)인 게 특징이다. 보안 탐지를 피해 은밀히 활동해야 하기 때문이다. APT 공격은 목표로 삼은 시스템에 활동 거점을 마련한 뒤 정보를 탈취하기 위해 꾸준히 해당 시스템에 물리적인 공격을 가한다. 마지막으로 APT 공격은 확실한 목표(Targeted)를 가지고 있다. APT는 특정 정보를 빼내기 위한 목적으로 제조된 경우가 많다. 그래서 가치 있는 고객정보를 가진 기관이나 기업이 APT의 공격 대상이 될 가능성이 높다.

APT 진행 프로세스. (자료 : 안랩)

스파이처럼 침투해 스폰지처럼 감염

APT는 스파이처럼 상대방 컴퓨터에 침투하는 게 특징이다. 스파이 영화를 떠올려 보자. 스파이는 침투에 앞서 상대방을 면밀히 관찰한다. APT도 똑같다. 우선 목표물을 먼저 조사한 뒤, 악성코드에 감염시킨다. 그런 다음 내부망으로 접속할 수 있는 ‘백도어’(뒷문)를 설치해 사내망에 접속할 수 있는 권한을 획득한다. 이 과정을 거치고 나면 사내망은 해커 손에 떨어진다. 이 과정을 요약하면 다음과 같다.

① 목표 설정 및 사전 조사→② 악성코드 최초 감염→③ 내부망으로 확대 및 백도어 및 툴 설치→④ 권한 상승 및 탈취→⑤ 내부 인프라 장악→⑥보안 사고유발

해커는 e메일을 이용한 사회공학적 기법을 이용해 특정 이름으로 회사 직원에게 악성코드가 첨부된 e메일을 보낸다. 사회공학적 기법이란 믿을만한 지인이나 회사로 가장해 신뢰를 얻는 방법을 일컫는다. 직원은 아무 의심 없이 e메일을 받아 첨부파일을 연다. 악성코드가 최초로 감염되는 ‘발화점’이다. 이 직원은 자신도 모르게 사내망을 감염시키는 최초 악성코드 유포자가 된다.

해커는 회사 직원의 컴퓨터 감염을 시작으로 차례로 사내 컴퓨터를 감염시켜 나간다. 사내 시스템의 접근권한을 확보하기 위해 비밀번호를 하나씩 넣어보기 시작한다. 이렇게 알아낸 비밀번호로 점점 더 높은 관리 권한을 획득한 해커는 사내 시스템 전체를 손아귀에 넣는다. 그 다음 사내 보안 프로그램에 걸리지 않게 조금씩 데이터를 유출한다. APT의 가장 흔한 공격 방법이다.

내가 자전거 온라인 동호회 회원이고, 해커가 목표로 삼은 기업 임직원도 같은 동호회 회원이라고 가정해보자. 내 e메일 계정과 동호회 아이디가 해커 손에 넘어간다면 APT 공격은 절반 이상 성공한 셈이다.

해커는 내 동호회 계정으로 새로운 모임을 공지하는 가짜 e메일에 악성코드를 살짝 묻혀 보낸다. 나와 같은 동호회에 가입한 ‘죄‘밖에 없는 임직원은 그 e메일을 아무 의심 없이 열어볼 확률이 매우 크다. 안랩에 따르면 많은 보안 전문가들은 최초 침입한 뒤엔 들키지 않고 내부망을 돌아다니기 매우 쉽다고 지적한다.

한 놈만 노린다

APT는 기존 해킹과 달리 불특정 다수가 아닌 특정한 대상을 지정해 공격한다. 오랜 시간 동안 잠복하면서 들키지 않게 정보를 빼내는 게 특징이다. 그런 탓에 공격 당하는 대상은 자신이 APT 공격을 당하고 있는지도 모르는 경우가 대부분이다. APT 공격은 특정 기업이나 조직을 주로 노린다. 2000년대 후반 원자력 발전소와 같은 중요한 산업기반 시설부터 최근 구글, 야후 같은 유명 인터넷업체와 정부기관이 이 공격에 속수무책으로 당하면서 APT 공격에 대한 관심이 높아졌다.

악성코드의 시작은 2009년 중국 해커에 의해 이뤄진 해킹 공격 사건 ‘티베트 달라이라나 기관 해킹 사건‘으로 거슬러 올라간다. 그 뒤 2010년 부셰르 원자력발전소를 공격한 ‘스턱스넷’이 출현하면서 본격적으로 APT 공격이 세간에 이름을 알리기 시작했다. 이 사건은 2010년 7월 한 해커가 악성코드를 이용해 이란 원자력 발전소 작동을 방해하면서 알려졌다. 이 때 사용된 악성코드는 SCADA(Supervisity Control And Data Acquisition) 시스템을 임의로 제어하는 데 사용됐다. 해커는 APT 공격을 통해 원자력 발전소 내부에서 사용하는 독일 지멘스의 소프트웨어 구조를 정확히 파악한 뒤 관련 파일을 변조하는 등 여러 공격 방법을 사용했다. 이 공격은 4개의 제로데이를 공략하는 등 최악의 APT 공격으로 알려졌다.

2011년 8월께 일어난 ‘오퍼레이션 오로라’도 APT 공격의 일종이다. 이 해킹 사고는 공격 기간만도 5년에 이른다. 공격을 받은 곳은 구글과 미국 정부기관을 비롯해 각국의 정부기관과 사업체로, 모두 합하면 70여곳이 넘는다. 역사에 남을 해킹 공격이다.

같은 해 7월엔 국내에서 SK커뮤니케이션즈 해킹 사고가 터졌다. 이 공격으로 3500만명에 이르는 네이트·싸이월드 회원의 개인정보가 고스란히 털렸다. 알집 소프트웨어 업데이터 서비스를 악용해 개인정보를 탈취한 이 사건도 APT 공격의 전형적인 사례다.

이 공격은 목표 대상에 대한 선행조사 끝에 이뤄지는 침투, 프로파일링을 통한 전반적인 기업 정보 검색, 정보를 내려받을 수 있는 새로운 악성코드를 유포해 기밀 수집, 수집한 정보를 몰래 빼내오는 유출 등 4단계를 거쳤다. 대개는 특정 기업이나 조직 네트워크에 침투해 활동 거점을 마련한 후 기밀 정보를 수집해 지속적으로 정보를 빼돌린다. 치밀하게 사전 준비를 거친 스나이퍼에 비유할 수 있다.

APT 공격 프로세스.(자료 : 시만텍)

최선의 방어막은 ‘사람’

APT 공격을 막는 방법은 기존의 악성코드 공격을 막는 방법과 크게 다르지 않다. APT 공격은 특정 목표를 정하고 이를 집중 공략하기 때문에 준비 기간이 길고 공격 수준이 높아 웬만해서는 막아내기가 힘들다. 그렇기 때문에 처음부터 APT 공격을 완벽하게 막는다는 욕심보다는 최대한 막는다는 현실적인 마음가짐을 가지자. 아무리 튼튼한 방패도 모든 창을 막아낼 순 없다.

APT 공격으로부터 시스템을 보호하려면 네트워크와 시스템에 대한 의심스러운 행위를 탐지하고 기업에 맞는 보안 시스템을 구축해야 한다. 기업은 내부와 외부 네트워크에 대한 정보를 이용해 위협에 대한 견고한 정보 체계를 구축해야 한다.

시스템 방어막이 완료됐다면, 내부 보안 교육을 강화할 차례다. APT 공격은 보안적 기술의 문제가 아닌, 가장 약한 요소인 ‘사람’을 노리는 공격이다. 내부 사용자의 접속 방식을 분석해 허점을 노려 개인 PC를 감염시키는 것이 APT 공격의 시작이다.

기업은 무엇보다 사내 직원의 개인 컴퓨터에 설치된 백신을 항상 최신 상태로 유지하도록 관리해야 한다. 주기적 바이러스 검사도 필수다. 발신인이 불분명하거나 수상한 첨부파일은 실행하지 않도록 한다. SNS나 문자메시지(SMS)로 날아온 단축 웹주소(URL)로 함부로 눌렀다간 APT 공격의 ‘숙주’가 되기 십상이다. 사내에선 되도록 사용이 허가된 소프트웨어만 실행하는 습관을 기르자. 직원은 다소 불편하더라도, 보안이 편안해진다.

 

---

글

이지영 | 블로터 기자

자료제공 http://www.bloter.net 

---