사실 APT에 대한 연구는 2010년 초로 거슬러 올라갑니다. 그 당시 해외 보안 컨퍼런스나 보안 위협을 연구한 논문들에서 APT라는 용어가 서서히 보이기 시작하고, 개인적으로 해당 보안 위협의 형태가 어떠한 것인가에 대한 궁금함과 그에 따른 대응 수단은 무엇일까에 대한 관점으로 4개월에 걸친 자료 조사와 고민들 그리고 생각들을 정리 및 연구해서 2010년 10월에 작성했던 원고가 안랩닷컴에 실려 있는 "고도화된 보안 위협의 생산, APT (Advanced Persistent Threat)" 입니다.
해당 원고를 작성 할 당시만 하더라도 한국내에서는 APT와 관련된 자료나 논문들이 전무한 상태여서 해외 논문들과 자료들을 찾고 정리하느라 짧은 영어 실력으로 힘들었던 기억이 많이 납니다. 그리고 한국에서는 APT 형태의 보안 위협에 대해 다루었던 최초의 원고이고, 2011년 전사적으로 집중해야 되었던 보안 위협 형태로 판단하는데 큰 기여를 할 수 있었던 것 같아 개인적으로 큰 의미를 가지고 있는 원고 중 하나 입니다.
재미있는 에피소드로는 그 당시 APT 공격 대상 중 하나로 금융기관이나 기업이 될 수 있을 것 같다는 생각이 들어서, 그에 대한 피해로 "사회 금융 시스템의 동작 불능"이 발생 할 가능성이 있을 것으로 보았습니다. 그렇게 작성한 이후 그 다음 해인 2011년 농협 전산망 침해 사고로 실제 피해가 발생하게 되자, 주위에서 농담으로 제가 한 것이 아니냐는 말씀을 하신 분들도 계셨습니다. ^^;;
+----------------------------
18세기에서 19세기의 영국에서는 산업계 전반에 걸친 커다란 변화와 변혁의 시기를 맞이하게 되었으며 이 시기에 발생하였던 산업 기술의 커다란 발전은 후에 영국의 경제학자 아놀드 토인비(Arnold Toynbe)에 의해 산업 혁명(Industrial Revolution)이라고 불리게 되었다. 이러한 산업 혁명에 의해 전 세계적으로 산업 구조는 조직적이고 대량 생산 체계를 갖출 수 있게 됨으로써 인류는 풍요로운 문명의 발전을 이루게 되었다. 산업 혁명 시기에 발생하였던 일련의 기술 발전 현상들은 현재 인터넷(Internet)을 중심으로 발생하고 있는 다양한 보안 위협들의 발생 과정들과 유사한 모습을 많이 가지고 있다.
금전적 이윤을 목적으로 가지고 조직적으로 자동화된 대량 생산 방식으로 만들어지는 보안 위협들에 맞서는 정보 보호 분야에 있어서 또 다른 산업 혁명의 시기로 볼 수 있을 것이다.
그러나 최근에 와서는 금전적 이윤을 목적으로 조직적이고 자동화된 대량 생산 형태의 보안 위협들은 이제 그 범위를 서서히 확장하여 또 다른 영역으로의 발전을 꾀하고 있는 실정이다. 이러한 새로운 형태의 보안 위협들에 대해 정보 보호 분야에서는 APT(Advanced Persistent Threat)라고 언급하고 있다.
사이버 블랙 마켓(Black Market)에서 발생하는 산업 혁명
최근 인터넷을 통해 발생하는 다양한 보안 위협들은 이미 몇 년에 걸쳐 금전적인 이윤을 목적으로 제작되고 있다는 것은 잘 알려져 있는 사실이다. 이러한 금전적인 이윤을 획득하는 것만을 목적으로 하는 것에 그치지 않고 발생하는 금전적인 이윤을 극대화 하기 위해 조직적인 움직임까지 보이고 있으며 실제 중국 언더그라운드에서 제작되는 온라인 게임 사용자 정보의 탈취를 시도하는 악성코드들의 경우 철저한 역할 분담 형태로 제작되고 있어 조직적인 모습을 그대로 보이고 있다.
그 세부적인 역할 분담 형태를 살펴보게 되면 악성코드를 제작하고 제작된 악성코드를 유포해서 악성코드에 감염된 온라인 게임의 사용자들의 개인 정보 수집하고 이를 다시 현금화 하는 일련의 프로세스는 단계적으로 철저하게 조직적인 역할 분담 형태로 구성되어 움직이고 있다.
[그림 1] 중국 사이버 블랙 마켓의 조직적인 온라인 게임 개인 정보 탈취 및 아이템 판매
이렇게 금전적인 이윤을 극대화 하기 위해 조직적인 역할 분담 형태로 보안 위협을 생산하는 조직들의 모습은 과거 발생하였던 일련의 보안 위협 형태들로 구분 지었을 때 다음과 같은 특징들을 보이고 있다.
1) 투자 수익율 (ROI, Return of Investment) 중심의 자동화된 보안 위협 생산
보안 위협을 생산하는 조직들은 금전적인 이윤을 극대화 하기 위한 필요성에 의해 개인적인 위협의 제작 차원에서 조직적인 역할 분담 형태로 변하게 되었다. 이러한 필요성에 의해 조직적인 형태를 가지게 되었으므로 조직적인 차원에서는 보안 위협의 생산에 필요한 금전적, 인력적 투자는 최소화하고 생산하는 보안 위협들은 목적을 최대한 많이 달성하기 위해 다양한 방안들을 사용하고 있다. 이러한 형태의 대표적인 사례로 악성코드들의 대량으로 자동화된 생산 형태를 들 수가 있다.
[그림 2] 중국 사이버 마켓에서 판매되는 온라인 게임 악성코드 자동 생성기
2) 다양한 보안 위협들을 동시에 생산하여 금전적 가치 극대화
금전적인 이윤을 목적으로 구성된 조직들에서는 한 가지 형태의 보안 위협만을 생산하는 것이 아니라 다양한 형태의 보안 위협들을 복합적으로 생산하고 있다. 실례로 2010년 2월 발생한 페이스북(Facebook) 피싱(Phishing) 메일의 경우, 유포된 피싱 메일은 허위로 제작된 피싱 웹 사이트로 연결하게 되는데 그 연결된 웹 사이트에서는 백그라운드(Backgroud)로 사용자 모르게 원격제어와 개인 정보 탈취를 목적으로 제작된 악성코드가 유포되고 있었다.
이러한 점은 피싱이라는 보안 위협과 함께 악성코드라는 보안 위협을 동시에 제작하여 두 가지 보안 위협에 모두 노출되는 기회를 만들게 됨으로써 해당 보안 위협들로 인해 발생 할 수 있는 금전적인 이윤 역시 극대화 하고자 하였던 시도라고 볼 수 있다.
3) 자동화로 생산된 보안 위협들의 웹 사이트를 중심으로 대규모 유포
금전적인 이윤을 극대화하기 위해서 자동으로 생산되는 보안 위협들을 많은 사람들이 방문하는 웹 사이트를 중심으로 대규모로 유포 할 수 있는 환경을 만들 수 있게 되었다. 이렇게 보안 위협들의 대규모 유포는 자동화 된 SQL인젝션(Injection)과 같은 기법들과 함께 웹 사이트에 존재하는 취약점을 악용함으로써 가능해지게 되었다. 이러한 대규모 유포의 좋은 사례로는 2009년 5월과 6월에 발생하였던 검블러(Gumblar)와 나인볼(NineBall)이라 명명된 대규모 웹 사이트 해킹 및 악성코드 유포를 들 수가 있다. 그와 같이 명명된 대규모로 악성코드 유포된 보안 사고는 웹 익스플로잇 툴킷(Web Exploit Toolkit)이라는 접속하는 웹 브라우저에 존재하는 취약점을 자동으로 악용 할 수 있게 해주는 공격 도구 형태로 인해 대규모 유포의 가능성을 더욱 크게 만들게 되었다.
[그림 3] 웹 익스플로잇 툴킷의 한 종류인 SEO SPLOIT PACK과 자동화 된 공격 구조
이렇게 웹 사이트와 악성코드가 결합된 대규모 유포 방식으로 인해 악성코드와 같은 보안 위협에 더욱 많은 사람들이 단기간에 노출되도록 함으로써 금전적인 이윤 역시 극대화 할 수 있는 기회 역시 더욱 커지게 되었다.
고도화된 보안 위협 APT 의 발생과 특징
앞서 사이버 블랙 마켓에서 발생하는 다양한 보안 위협들을 생산하는 조직들은 금전적인 목적을 가지고 조직적이고 자동화된 방식으로 보안 위협들을 대규모 유포하는 특징들을 보이고 있는 것을 언급하였다. 이러한 금전적인 목적을 가진 조직들에서 생산하는 보안 위협들은 여전히 인터넷에서 주요한 정보 보호 분야의 주제이다. 그러나 2010년으로 넘어오면서 정보 보호 분야는 앞서 언급하였던 금전적인 이윤을 목적으로 하는 보안 위협들과 다른 목적과 대상으로 생산되는 새로운 형태의 보안 위협을 정의하게 되었는데 APT (Advanced Persistent Threat)가 바로 그러한 형태이다.
1) 고도화된 보안 위협 APT의 의미
APT 라는 단어 자체는 2010년에 들어 새롭게 정의된 단어와 의미는 아니며 그 기원과 최초의 사용은 미국 공군 사령부로 연결된다. 미국 공군 사령부에서는 2006년 무렵 미국 국방부 및 정부 기관들과의 원활한 커뮤니케이션을 위해 확인된 특정 보안 위협의 형태를 지칭하는 의미로서 APT (Advanced Persistent Threat)를 사용하게 되었다.
그 이후 정보 보호 분야의 민간 부분으로 넘어오면서 APT 라는 용어는 미국 공군 사령부에서 사용되었던 의미와 조금 다른 형태로 의미로 해석되고 사용하게 되었다.
- Advanced
사전적인 의미로는 ‘앞선’, ‘고급의’로 정의되고 있으나 APT에서 ‘Advanced’라는 단어는 APT 형태의 보안 위협을 생산하는 조직에서 사용하는 기술적인 범위와 수준을 지칭하는 것으로 해석할 수 있다.
APT 형태의 보안 위협을 생산하는 조직은 특정한 목적을 수행하기 위해 보안 위협 제작에 사용되는 기술들을 한 가지에만 제한시키는 것이 아니라 광범위하게 많은 기술들을 동시에 사용 할 수 있다. 간단한 예시로 APT 형태의 보안 위협을 생산하기 위해 마이크로소프트(Microsoft)의 윈도우(Windows) 운영체제를 깊이 있게 분석하여 새로운 제로 데이(Zero-Day, 0-Day) 취약점을 찾아내어 악용할 수도 있으며, 특정 조직의 내부 시스템을 장악하기 위한 목적으로 기존 보안 소프트웨어에서 탐지를 회피 할 수 있는 새로운 형태의 악성코드를 제작하는 것을 들 수가 있다.
결국 특정 목적을 달성하기 위해 보안 위협을 생산하는 조직은 IT 인프라와 관련된 모든 기술들을 다양하게 사용 할 수도 있다라는 의미로 해석 할 수 있다.
- Persistent
APT의 두 번째 단어에 해당하는 ‘Persistent’는 사전적인 의미로 ‘영속하는’, ‘끊임 없는’으로 정의되어 있다. APT에 있어서 이 ‘Persistent’라는 의미는 보안 위협을 생산하는 조직이 가지고 있는 특정 목적을 대한 자세 또는 공격 대상에 대한 태도로 해석 할 수 있다. 이는 보안 위협을 생산하는 조직이 가지고 있는 특정 목적이 달성되기 전까지는 그 공격 대상에게 끊임 없이 새로운 기술과 방식이 적용된 공격들이 지속적으로 가해지기 때문이다.
이러한 특징으로 인해 APT 형태의 보안 위협을 논하는 정보 보호 분야에서는 이 ‘Persistent’적인 특성으로 인해 그 보안 위협의 목표가 되는 대상에게는 치명적인 손상을 가하게 된다고 보고 있다.
- Threat
APT에서 의미하는 ‘Threat’은 사전적인 의미의 ‘위협’을 그대로 뜻한다. 그리고 여기서 이야기하는 위협의 구체적인 형태로는 악성코드, 취약점, 해킹과 사회 공학 기법 등으로 IT 기술에 의해 생산되는 형태가 될 수 도 있으며 사람에 의해 직접적으로 만들어지는 사회 공학 기법적인 형태가 될 수 도 있다.
이렇게 APT(Advanced Persistent Threat)이 가지는 개별적인 단어들의 의미와 함께 현재 발생하는 보안 위협의 특성들이 합쳐져 2006년 미국 공군 사령부에서 사용하던 APT 의미에서 변형된 다른 의미가 성립하게 되었다. 이렇게 성립된 APT가 가지는 의미를 요약하여 정의 해본다면 다음과 같다고 할 수 있다.
“다양한 IT 기술과 방식들을 이용해 조직적으로 경제적이거나 정치적인 목적을 위해 다양한 보안 위협들을 생산해 지속적으로 특정 대상에게 가하는 일련의 행위”
2) APT 형태를 가지는 보안 위협들의 공격 대상
앞서 APT 가 가지고 있는 개별 단어들의 사전적인 의미와 특징들을 통해 APT가 어떠한 의미라는 것을 살펴보았다. 이 의미 중에서 우리가 주의 깊게 살펴보아야 할 부분이 바로 ‘경제적이거나 정치적인 목적’ 그리고 ‘특정 대상’이라는 부분이다.
특히 앞서 정의한 APT 형태의 보안 위협에 있어 그 위협의 대상은 보안 위협을 생산해내는 조직이 가지고 있는 목적들과 밀접한 관련이 있으며 그 목적에 따라 그 대상 역시 다양하게 나타나고 있다. 현재까지 발생하였던 APT 형태의 보안 위협들의 공격 대상이 되었던 대상들을 형태별로 구분하여 살펴보면 크게 다음 [그림 4]와 같이 분류가 가능하다.
[그림 4] APT 형태의 보안 위협에 대상이 되는 조직들
APT 형태의 보안 위협에 대상이 되는 조직들은 정부 기관, 사회 기간 산업 시설, 정보 통신 기업, 제조 업종 기업과 금융 업종 기업들과 같은 기관과 기업들이 주요 대상이 되고 있다. 이러한 기관과 기업들이 APT 형태의 보안 위협에 주요 대상이 된다는 점은 결국 해당 보안 위협을 생산하는 조직들이 가지고 있는 목적 자체가 정치적인 목적이 상반되는 조직에 대한 정치적인 행동 또는 경제적으로 커다란 이익을 확보할 수 있는 데이터 탈취가 가능한 기업이 된다는 것을 알 수 있다.
이러한 목적들 중에서 먼저 정치적인 목적의 경우에는 일반적으로 정부기관과 사회 기간 산업 시설이 APT 형태의 보안 위협에 주요 공격 대상이 되고 있다.
정부 기관을 대상으로 하는 경우에는 생산한 APT 형태의 보안 위협을 이용해 국가 정부 기관에서 보관 중인 특정 기밀 문서를 탈취하거나 특정 정부 정책과 관련된 정보들을 확보하기 위해서이다. 또한 사회 기간 산업 시설을 대상으로 하는 경우에는 일종의 사이버 테러리즘 활동으로 볼 수도 있다. 발전소 및 댐과 같이 사회 운영의 근간이 되는 기간 산업 시설에 대해 APT 형태의 보안 위협으로 공격을 가하는 것은 해당 산업 시설들의 정상적인 동작을 방해하여 해당 국가 사회 전반의 정상적인 활동이 이루어지지 않도록 하기 위해서라고 볼 수 있다.
그리고 경제적인 목적이 되는 경우에는 일반적인 기업들이 대상이 되고 있으며 그 중에서도 소프트웨어나 통신 장비 등을 생산하는 첨단 정보 통신 기업들과 함께 자동차, 선박, 가전제품 등을 생산하는 제조 업종의 기업들도 대상이 되고 있다. 그리고 은행, 증권사 등 금융 업종에 포함되는 기업들도 역시 APT 형태의 보안 위협들의 대상이 되고 있다.
이러한 일반적인 기업들이 대상이 되는 경우에는 일반적으로 산업 보안(Industrial Security, Corporate Security) 분야에서 언급하고 있는 주된 위협인 산업 스파이(Corporate Espionage) 활동의 일종으로 주로 경쟁 기업 내부의 주요 소프트웨어 소스코드, 제품의 설계도 등을 탈취하여 경쟁 기업의 제품 생산과 판매에 치명적인 손상을 가해 반사적인 이익을 얻기 위한 경제적인 목적이 가장 크다고 할 수 있다. 금융 업종 기업의 경우에는 경쟁 기업의 내부 재무 관련 기밀이나 비공개 투자 계획 문서 등을 탈취하여 경쟁 기업의 비즈니스 활동 전반에 걸친 타격을 주기 위한 목적도 가지고 있다.
3) 고도화된 보안 위협 APT 형태가 가지는 보안 위협적 특성
앞서서 살펴본 바와 같이 APT 형태를 가지는 보안 위협들의 공격 대상들은 그 위협들을 생산하는 조직의 목적에 따라서 다르다. 이러한 목적 역시 시대에 따라 변하여 왔던 것을 시대에 따른 공격 대상의 변화들로 미루어 알 수가 있다.
1990년대에는 주로 국방부와 같은 군사 기관들이 주된 대상이 되었으며 2000년대 초반에 이르러서는 주로 정부 기관들이 대상이 되었다. 그리고 2000년대 중반에는 일반 기업들로 그 범위가 확대되었으며 그 중에서도 제조 업종에 속해 있는 기업들이 주요 타깃이었다. 2000년대 후반에 이르러서는 정보 통신 기술의 발전과 함께 정보 통신 기업들이 APT 형태의 보안 위협에 대상이 되고 있다.
이렇게 시대적인 상황에 따라 APT 형태의 보안 위협이 목표로 하는 공격 대상들 역시 변화하는 특징도 있었지만 이와 함께 과거에 제작되었던 보안 위협들과 다르게 APT 형태의 보안 위협에서만 볼 수 있는 정교함이 존재하고 있다.
[그림 5] APT 형태의 보안 위협이 가지는 정교함과 위험성의 상관 관계
개별적인 보안 위협의 정교함은 해당 보안 위협이 발생하였던 시대적인 흐름과 변화에 따라 조금씩 다르다는 특징을 가지고 있다. 이러한 시대적인 흐름에 맞물리는 보안 위협의 특징은 과거에 발견되었던 보안 위협들 중에서도 악성코드의 경우에는 대부분이 제작자들의 개인적인 호기심 또는 자신이 가지고 있는 기술에 대한 과시를 위한 성격 그리고 취미 생활과 같은 장난에 가까운 성격을 가지고 있었다. 그러므로 이러한 목적을 가지고 있는 보안 위협의 형태들은 그 정교한 역시 낮으며 그로 인해 발생 할 수 있는 위험성 역시 그리 높지 않다고 할 수 있다.
이러한 형태의 보안 위협들로는 2004년 발견된 베이글(Bagle) 웜과 2006년 발견되었던 마이둠(Mydoom) 웜 그리고 넷스카이(Netsky) 웜 등을 들 수 가 있다. 이 중에서도 특히 마이둠 웜과 넷스카이 웜은 제작자간의 감정적인 싸움으로 인해 지속적인 변형들이 제작되는 동기가 되기도 하였다.
그러나 2000년에 접어들면서 금전적인 목적으로 조직적 보안 위협을 생산하는 단계에 이르러서는 생산되는 보안 위협들 역시 그 정교함이 서서히 높아지게 되었다. 이러한 목적으로 제작되는 보안 위협들은 사이버 범죄에도 해당 되지만 이와 연계되어 있는 물리적 공간에서의 조직적 범죄에도 자리하게 되었다. 그리고 이러한 보안 위협들의 주된 탈취의 대상이 되는 것들은 물리적인 공간에서 현금화가 가능하거나 재화로서 금전적인 가치를 인정 받을 수 있는 온라인 게임 아이템, 개인 신상 정보, 금융 정보 그리고 신용카드 정보 등과 같은 데이터들이 해당 된다.
이러한 보안 위협의 형태들 중에서 가장 대표적인 사례로는 2008년 말부터 제작되기 시작하여 2009년 6월 무렵부터는 한국으로도 유입되기 시작하였던 제우스(Zeus) 봇(Bot)을 들 수가 있다. 악성코드 생성기와 이를 조정할 수 있는 C&C(Command and Control) 서버를 설치 할 수 있는 제우스 패키지는 사이버 블랙 마켓(Black Market)에서 유료로 판매되고 있다.
[그림 6] 블랙마켓에서 금전 거래로 판매되는 제우스 봇 생성기
이렇게 유료로 판매되고 있는 제우스의 패키지를 이용하여 온라인 뱅킹의 개인 정보들을 탈취하여 은행 계좌가 가지고 있는 금액을 모두 탈취하거나 제우스 봇에 감염된 시스템들의 정보들을 블랙마켓에 유료 재판매하고 있다.
조직적으로 금전적인 목적의 보안 위협을 생산하는 현상들은 그 이후에도 계속되고 있으며 이제는 그 규모 면에서 경제적으로 가치가 높은 데이터들을 탈취하는 산업 스파이적인 형태로 발전하게 되었다. 이러한 형태로 발전함에 따라 일반인들과 비교하여 보안이 견고한 기업 내부 네트워크에 침입하기 위해 생산되는 보안 위협들 역시 그 정교함이 높아짐과 동시에 그 위험성 역시 더 높아지게 되었다.
이러한 산업 스파이적인 형태로 첨단 정보 통신 기업들을 대상으로 하였던 보안 위협의 비교적 좋은 사례로는 2010년 1월 오퍼레이션 오로라(Operation Aurora) 또는 구글 해킹이라고도 불렸던 보안 사고이다. 해당 보안 사고는 규모가 큰 첨단 정보 통신 기업들인 구글(Google) 등을 대상으로 해당 기업들이 가지고 있는 소프트웨어의 소스 코드와 같은 기업 중요 데이터를 탈취 할 목적으로 이루어졌다. 이 과정에서 마이크로소프트의 인터넷 익스플로러(Internet Explorer) 제로 데이(Zero Day) 취약점이었던 MS10-002이 사회 공학 기법과 함께 악용되었으며 안티 바이러스(Anti-Virus) 소프트웨어에서도 탐지되지 않도록 하기 위해 특별히 제작된 원격 제어형태의 악성코드도 함께 발견되었다.
[그림 7] 오퍼레이션 오로라로 불렸던 보안 사고 (출처: McAfee)]
이러한 일련의 과정들을 살펴 볼 경우, 첨단 정보 통신 기업들을 대상으로 공격을 수행하였던 조직은 기업 내부의 기밀 데이터를 탈취하기 위해 별도의 특수하게 제작된 제로 데이 취약점과 악성코드를 사용하였다. 이러한 점은 기존의 금전적인 목적을 가지고 있는 조직들과는 그 기술적인 정교함에 있어서 한 차원 더 높다고 것을 입증하는 것이다.
보안 위협의 생산성적인 면에서 가장 높은 정교함과 위험성이 있는 것으로 분류할 수 있는 APT 형태의 보안 위협에 대한 가장 대표적인 사례로는 올해 7월에 발견된 스턱스넷(Stuxnet)을 들 수가 있다.
[그림 8] 스턱스넷 악성코드의 감염과 동작 원리]
스턱스넷의 경우 해당 악성코드의 제작 목적 자체가 사회 기간 산업 시설 중 하나인 원자력 발전소의 SCADA(Supervisory Control And Data Acquisition) 시스템들을 임의로 제어하기 위해서 이다. 그리고 해당 악성코드를 원자력 발전소 내부 폐쇄망에서 다른 시스템들로 유포 시키기 위해 기존에 알려진 MS08-067 취약점과 함께 4개의 새로운 제로 데이 취약점을 사용할 정도로 고도의 기술들이 사용되었다. 그리고 해당 악성코드의 설계적인 측면에서도 원자력 발전소 내부에서 사용하는 지멘스(Siemens) 소프트웨어의 구조를 정확하게 파악하여 관련 파일을 변조 한다는 점들을 볼 때 APT 보안 위협의 형태가 가지고 있는 특징들이 그대로 드러난다고 볼 수 있다.
이러한 모습들을 보았을 때 결국 스턱스넷은 장기간에 걸친 철저한 계획과 준비를 통해 조직적으로 악성코드에서 사용될 제로 데이 취약점 개발과 지멘스 소프트웨어 분석 그리고 악성코드 설계라는 분업화 된 형태로 진행 되었을 것으로 예측 할 수가 있다. 그리고 스턱스넷의 유포를 위해서 사회 공학 기법을 포함한 다양한 방법들을 동원해 내부 폐쇄망으로 옮겨 갈 수 있도록 장시간에 걸쳐 논리적, 물리적 보안 시스템들을 교묘히 회피하였을 것으로 보인다.
APT 형태의 보안 위협에 위한 대응 방안
앞서 우리는 APT 형태의 보안 위협들이 가지는 의미와 그것 들이 가지는 고도의 정교함과 높은 위험성들이 어떠한 형태로 사용되었는지를 대표적인 몇 가지 사례들을 통해 살펴 볼 수 가 있었다. 그렇다면 이러한 커다란 위험성을 가지고 있는 APT 형태의 보안 위협들에 대응하기 위해 어떠한 대응 수단과 전략을 갖추어야 할 것인가 하는 생각을 할 수 있을 것이다.
APT 형태의 보안 위협에 대응하기 위해서는 [그림 9]와 같이 크게 사고 예방 차원에서 취할 수 있는 방안들과 실제 위협으로 인한 보안 사고가 발생한 단계에서 취할 수 있는 방안들로 나누어 볼 수 있다.
[그림 9] APT 형태의 보안 위협에 대응하기 위한 방안들
먼저 실제 위협 발생 전 단계에서는 일반적으로 사전 예방 차원에서의 활동들이 주를 이루고 있다. 이러한 활동들로는 정기적인 보안 관제로 기업 내부 네트워크에서 침해 사고로 간주 할 수 있는 이상 징후들이 발생하는지 주의 깊은 모니터링이 필요하다. 그리고 기업 내부에서 현재 사용하고 있는 보안 정책들의 실효성에 대해 검토함과 동시에 각각의 시스템들이 보관하고 있는 데이터들의 중요성과 기밀성에 따른 위험성 분석을 수행하여 보안 사고가 발생하더라도 그 피해를 최소화 할 수 있는 방안을 수립하는 것이 중요하다고 할 수 있다.
앞서 살펴본 바와 같이 APT 형태의 보안 위협들에서는 그 목적을 달성하기 위한 하나의 수단으로서 악성코드가 제작되어 사용된다고 언급한 바가 있다. 그러므로 모든 시스템들과 클라이언트들에는 보안 소프트웨어들을 설치하여 운영하도록 하며 주기적으로 운영되고 있는 보안 소프트웨어와 보안 장비들의 업데이트 및 관리를 하는 것이 중요하다. 그리고 기업 내부 네트워크를 사용하는 임직원들을 대상으로 정기적인 보안 인식 교육을 실시하여 사회 공학 기법을 악용하는 다양한 형태의 보안 위협들에 노출 되는 것을 예방 할 수 있도록 한다.
위협 발생 전의 단계가 침해 사고 예방적인 관점에서의 접근이었다면 실제 APT 형태의 위협이 발생한 것을 인지하였거나 유사한 형태의 보안 사고가 발생한 것으로 간주하고 있다면 크게 3가지 형태로 나누어서 접근 할 필요가 있다.
첫 번째로 기업 내부 네트워크의 시스템들에 악성코드가 감염되는 것을 막도록 한다. 이를 위해 기업 내부에서 검토하고 인증한 어플리케이션들을 대상으로 화이트리스트(White List)를 작성하여 해당 어플리케이션들 외에 임의로 다른 어플리케이션들을 설치하지 못하도록 보안 소프트웨어나 시스템 보안 정책을 이용하여 설치 및 실행 되지 않도록 차단한다. 그리고 중요 시스템들에서는 확인되지 않거나 인가되지 않은 계정들의 접근 권한을 최소화 하거나 차단하고 네트워크 역시 중요 시스템들이 있는 네트워크 대역과 일반 임직원들이 사용하는 네트워크 대역을 분리 및 차단하여 원천적인 접근을 차단하는 것도 방안이다.
그리고 두 번째로 APT 형태의 보안 위협들이 최종적으로 시도하는 형태는 데이터의 파괴나 탈취라는 것을 앞서 살펴보았다. 그러므로 실제 위협이 발생한 것으로 파악되는 상황이라면 기업 내부 기밀 데이터가 보관 중인 시스템과 데이터를 보호 할 수 있도록 데이터 암호화와 접근 통제로 유출 차단과 함께 기밀 데이터가 유출되었더라도 그것을 악용할 수 없도록 하는 것이 중요하다.
마지막으로 실제 보안 위협이 어떠한 경로로 기업 내부 네트워크로 침입을 하였으며 어떠한 시스템과 데이터에 대해 접근을 시도하고 있는지 파악하는 과정이 필요하다. 이러한 탐지 및 대응의 단계에는 최초 네트워크 내부의 비정상적인 패킷의 검출과 함께 비정상적인 접근이나 데이터 전송이 발생하는 시스템을 파악하여 침해 사고 대응 프로세스를 진행과 함께 디지털 포렌식(Digital Forensic) 프로세스에 따라 자세한 분석을 진행 하도록 한다.
결론
우리는 이제까지 현재 정보 보호 분야에서 발생하고 있는 조직적으로 금전적인 이윤을 목적으로 생산되는 보안 위협들의 특징과 형태들을 살펴보았다. 이러한 보안 위협들은 이제 APT라는 경제적이거나 정치적인 더 큰 목적으로의 보안 위협들을 생산하는 단계에 이르렀다. 과거에 발생하였던 사례들과의 비교를 통해 APT 형태의 보안 위협들이 가지는 기술적 고도화와 정교함은 그 위험성이 더 높은 것을 알 수 있었다.
이렇게 과거에 비해 현저히 높아진 위험성을 내포하고 있는 APT 형태의 보안 위협들에 대해 대응하기 위해서는 보안 소프트웨어나 보안 장비들에만 의존하는 단층적인(One Layer) 방안은 그 실효성을 거두기가 어렵다. 그리고 이와 함께 기업 내부 네트워크에 있는 시스템과 중요 데이터가 보관되어 있는 시스템들에 매일 접근하는 임직원들에 대한 정기적인 보안 인식 교육 부재는 내부 네트워크에 언제라도 보안 위협을 유발 시킬 수 있는 큰 문제점으로 작용 할 수 있다.
그러므로 결국 이러한 고도화된 보안 위협들에 대응하기 위해서는 효율적인 보안 소프트웨어 및 보안 장비 사용 그리고 중요 시스템과 데이터에 대한 접근 차단 등과 같은 기술적인 보안에 더해 정기적인 보안 인식 교육 그리고 시스템 사용에 대한 명문화된 보안 지침 등과 같은 정책적인 보안이 상호 보완 해주는 구조로 정보 보호 프로세스가 확립되어야지만 개별적인 대응 방안들이 계층적인 구조인 다단계적인(Defense in Depth) 대응 방안으로 재편성이 가능하다,
현재 뚜렷하게 들어난 APT 형태의 보안 위협은 스턱스넷이 대표적이지만 현재에도 이러한 형태의 보안 위협을 계속되고 있을 것이며 향후에는 이 보다 더 정교하고 고도화된 APT 형태의 보안 위협들일 생산될 가능성이 높다. 그러므로 이러한 형태의 보안 위협에 대해 충분한 이해를 바탕으로 수립된 정보 보호 프로세스만이 실제 보안 사고가 발생하더라도 능동적으로 대응을 할 수 있을 것으로 생각된다.
[참고 문헌]
1. Cybercrime industry has automated itself to improve efficiency, scalability, and profitability - Amichai Shulman, CTO of Imperva. (2010)
2. Advanced Persistent Threats (APTs) - Damballa. (2010)
3. Advanced Persistent Threat (APT) - Eric Cole, CTO of McAfee (2010)
4. Understanding the advanced persistent threat - Richard Bejtlich, Director of Incident Response for General Electric. (2010)
5. Advanced Persistent Threats - M86 Security (2010)
6. Countering cyber attacks - Ernst & Young (2010)
7. Protecting Your Critical Assets Lessons Learned from “Operation Aurora” - McAfee (2010)
8. Studying Malicious Websites and the Underground Economy on the Chinese web - Jianwei Zhuge, Thorsten Holz, Chengyu Song, Jinpeng Guo, Xinhui Han, and Wei Zou, Peking University Institue of Computer Science and Technology Beijing, China, University of Mannheim Laboratory for Dependable Distributed Systems Mannheim, Germany (2007)
9. Crimeware Understanding New Attacks and Defenses - Jakobsson, Ramzan, Symantec Press. (2008)
10. Cyber Fraud Tactics, Techniques, and Procedures - Graham, Howard, Thomas, Winterfeld, CRC Press (2009)
13. IBM X-Force 2010 Mid-Year Trend and Risk Report - IBM X-Forece (2010)