종합보안 기업인 안철수연구소(대표 김홍선)는 19일 최근 가장 위협적인 보안 이슈인 APT(Advanced Persistent Threat; 지능형 타깃 지속 공격)의 현황과 대응 방안을 발표했다.
APT는 ▲다양한 IT 기술과 방식을 이용해 ▲조직적으로 ▲경제적이거나 사회적인 목적을 위해 ▲다양한 보안 위협을 이용해 ▲특정 대상을 겨냥해 ▲지속적으로 공격한다는 것이 특징이다. 또한 APT의 주된 타깃은 정부기관과 사회 기간 산업 시설, 정보통신 기업과 제조 기업과 금융기관 등이다. 이는 APT 공격자의 목적이 사회적 시위 또는 경제적 이익 확보임을 시사한다(보충자료1).
APT 공격의 대표적 사례로는 스턱스넷(Stuxnet)과 오퍼레이션 오로라(Operation Aurora), 나이트 드래곤(Night Dragon), EMC/RSA 공격이 꼽힌다. 국내의 경우 올 초 발생한 3.4 디도스 공격 이후 특정 대상을 노리는 공격이 증가하는 추세이다.
APT 공격자는 기초 정보 수집, 악성코드 침투, 기밀 정보 유출의 과정을 거친다. 즉, SNS 등 다양한 방법으로 공격 대상 조직에 대한 정보를 수집하고, 해당 조직 임직원에게 악성코드 이메일을 보내는 등 지속적인 타깃 공격을 한다. 이후 공격 목표인 조직 내부에서 사용하는 애플리케이션(응용 소프트웨어)의 취약점을 악용해 정보를 은밀하게 빼낸다. 이 같은 APT 공격에 대응하려면 여러 방면에서 전방위 대응이 필요하다.
기초 정보 수집에 대응하려면 ▲정책적으로 조직 내부 정보나 구성원의 신원 정보를 통제하고 ▲각종 보안 위협 징후에 대한 내외부 모니터링 및 로그 분석이 지속적으로 이루어져야 한다. 또한 악성코드 침투에 대응하려면 ▲구성원이 P2P, 웹하드, SW 자동 업데이트 사이트 접속 시 악성코드에 감염되지 않도록 주기적으로 보안 교육을 하고 ▲PC(엔드포인트)에 설치된 보안 소프트웨어를 주기적으로 관리 및 감독해야 한다.
기업 내부에서 검토 및 인증한 애플리케이션을 대상으로 화이트리스트(White List)를 작성한다. 이후 화이트리스트 이외 다른 애플리케이션이 설치/실행되지 않도록 차단한다. 또한 확인/인가되지 않은 계정이 중요 시스템에 접근하지 않도록 권한을 최소화/차단한다.
아울러 중요 시스템이 있는 네트워크 대역과 일반 임직원이 사용하는 네트워크 대역을 분리해 접근을 원천 차단한다. 아울러 기밀 정보 유출에 대응하려면 ▲PC에 설치된 운영체제 및 애플리케이션의 취약점 패치 및 관리를 주기적으로 하고 ▲접근 통제로 정보 유출을 차단하고 ▲데이터 암호화로 기밀 정보가 유출되어도 악용되지 않게 한다.
이와 함께 재발 방지 차원에서는 어떤 경로로 기업 내부 네트워크로 침입했고 어떤 시스템과 데이터에 접근을 시도했는지 파악하는 것이 필요하다. 최초 네트워크 내부의 비정상 패킷을 검출하고, 비정상 접근이나 데이터 전송이 발생한 시스템을 파악한 후 디지털 포렌식(Digital Forensic) 프로세스에 따라 자세한 분석을 한다.
한편, 공격을 당하는 기관/기업뿐 아니라 악성코드 유포 경로로 악용되는 SW 업데이트 서버의 보안 관리도 중요하다. SW 제공 업체는 업데이트 서버를 설계 단계부터 보안을 철저히 고려해야 하며, 주기적으로 취약점을 점검하고 24시간 365일 모니터링하는 등 철저히 대비해야 한다.
안철수연구소는 이처럼 고도의 보안 위협 패러다임 변화에 따라 전방위 융합 보안 체계를 구성해 보안을 강화할 필요가 있다고 역설했다. 융합 보안 체계란 외부에서 들어오는 공격과 내부에서 유출되는 것을 동시에 감시 및 대응하는 종합적인 대책을 말한다.
안철수연구소가 제시하는 융합 보안 체계는 2009년부터 준비해온 ‘ACCESS(AhnLab Cloud Computing E-Security Service)’ 전략에서 출발한다. ‘ACCESS’는 ASEC(시큐리티대응센터)의 악성코드 수집 및 분석 능력과 CERT(침해사고대응팀)의 위협 모니터링 및 대응 서비스를 지능형 기술로 받쳐주는 플랫폼이다. 위협의 근원인 악성코드와 해킹 기법을 실시간 수집/탐지/치료함은 물론 악성코드 DB를 생성해 ASEC과 CERT, 제품 및 서비스에 실시간 연계함으로써 신속하고 정확하게 일관된 종합 대응을 할 수 있다.
안철수연구소는 V3(엔드포인트 PC 보안 솔루션)와 트러스가드(네트워크 보안 솔루션)를 비롯해 트러스와처(좀비PC방지 솔루션), 트러스라인(화이트리스트 기반 산업용 시스템 전용 보안 솔루션), 트러스존(망분리 솔루션) 등 다양한 제품의 결합으로 APT 공격에 대응책을 제시한다. 향후에는 악성코드 조기 진단 및 유포지 추적이 가능한 핵심 기술인 ASD(AhnLab Smart Defense)를 보안관제 서비스와 접목한 내부 관제 서비스를 출시할 계획이다.
안철수연구소 김홍선 대표는 “APT 공격은 공격의 패러다임이 한 단계 진화했음을 보여준다. 그에 맞춰 보안 체계의 패러다임도 바뀌어야 한다. 안철수연구소는 이미 보유한 핵심 기술을 더욱 발전시켜 최적의 해법을 제시함으로써 글로벌 보안 리더의 면모를 다져나갈 것이다.”라고 강조했다.