APT 정밀타격을 벗어나 융단폭격을 가하다

APT, 정밀타겟 에서 융단폭격으로 진화하다.

APT 공격도 트렌드가 변하고 있다. 예전에는 정밀한 타겟팅을 통해 특정 타겟만을 위해 맞춤형으로 설계된 공격전략과 악성코드를 이용했지만, 2015년부터는 타겟의 범위를 넓히고 대량 생산된 악성코드를 이용해 공격 성공ㄹ율을 높이고 있다. 이제는 상시적으로 사이버 공격이 일어나고 있으며, 기업/기관의 주요 시스템 뿐 아니라 임직원 개인 생활까지 노리면서 대중화 되고 있다. 진화하는 APT 에 대응하기 위해 인텔리전스 기반의 방어전략이 필요하게 되었다.

지능형 APT 혹은 지능형 타겟 공격(ATA)은 특정 목표를 달성하기 위해 정교하게 설계된 공격전략을 토대로, 목표에 맞게 제작된 악성코드를 은밀하게 침투시키는 공격을 말한다. 알려지지 않은 유일한 공격기법과 멀웨어를 이요하기 때문에 탐지와 차단이 어렵다. 지금까지 APT 는 이러한 패턴을 보여왔다. 그러나 2015년부터 APT의 전형이 무너졌다. 정교하게 제작된 악성코드가 아니라 기성품처럼 시장에서 판매하는 악성코드를 이용해 목표조직 하나가 아니라 유사 산업군 혹은 그룹사, 계역사 전체에 대량으로 유포해 공격 성공률을 높이고 있다. APT 공격은 일정한 패턴을 가고 지행돼왔따. 초기에는 목표 시스템으오 침투하기 위해 해당 시스템 관리 권한을 가진 사람을 주요 타겟으로 삼았다. 이후 그 사람과 어무 협력이 자주 일어나는 비서, 기획실, 마케팅 담당자, 협력업체 직원 등을 속여 공격했으며, 업무와 연관있는 내용으로 위장해 메일을 열어보지 않을 수 없게 만들었따.

단말에 악성코드가 설치되면 백도어를 만들어 시스템 내부로 침투하며, C&C서버와 지속적으로 통신해 페이로드를 내려받고, 목표 시스템으로 접근할 수 있는 관리자 계정을 훔쳐 시스템으로 들어간다. C&C서버와 지속적으로 통신하면서 다른공격툴도 내려보내 다른 시스템에서도 정보를 빼낸다. C&C서버는 추적을 피하기 위해 여러개의 분산된 지역에서 운영하며, 클라우드 서비스를 이용해 쉽게 증거를 인멸하고 숨을 수 있도록 한다. 이러한 방식의 사이버 공격은 공격이 진행되는 시간이 매우 길다. 은밀하게 시스템에 잠복해 있으며, 공격흔적을 지우면서 조심스럽게 진행되기 때문에 최소 몇 달, 길게는 몇 년까지 진행된다. 버라이즌의 2015년 데이터 침해 사고 보고서에 ㄸ르면, 해커들은 네트워크에 침입한 후 평균 205일 동안 숨어 있으며, 69%의 기업이 해커의 협박, 정보/감사기관, 언론 공개, 고객의 통보 등 외부 통지를 통해 침해사실을 알게 된다.

최소비용으로 최대수익을 위한 방법을 고안하는 공격자들

어느새 APT공격의 전형 이 되어버린 이 방식은 공격자 입장에서도 비효율적이다. 고도화된 보안 시스템을 우회할 수 있는 악성코드를 제작하고, 타깃 사용자를 속일 수 있는 방법을 고안해 업무 메일과 동일한 메일 및 첨부파일을 작성하기 위해 해당 사용자의 업무와 공격에 이용할 기업의 문서 형식을 파악해야 한다. 내부 모니터링 시스템을 파악해 임계치 혹은 패턴이 어떻게 설정돼 있는지 분석해 차단 정책에 걸리지 않도록 해야 하며, 장기간에 걸쳐 목표 기업의 시스템ㅇ과 사람들을 면멀히 분석해야 한다. 공격을 설계하기 위해 필요한 정보를 수집하는 과정에서도 상당한 시간과 비용이 소요된다. 타겟 시스템에서 장기간 정보를 빼니고자 하는 사이버 스파이라면, 잘 설계된 APT  공격은여전히 유용하다. 경쟁사 혹은 정보, 특정 기관/조직으로부터 의뢰를 받아 정보를 빼내고자 하다면, 비용이 많이 들더라도 쉽게 들키지 않고 사법당국의 추적을 피할 수 있는 전형적인  APT를 택한다.

대표적인 APT 공격으로 꼽히는 한국수력원자력 해킹사고는 망분리된 한수원시스템에서 인터넷과 업무망의 연결지점을 찾아 뚫고 들어갈 수 있는 방법을 탬색했으며, 퇴직자의 메일 계정을 입수하고, 한수원에서 사용하는 HWP 문서 버전의 취약점을 찾아내고, 제어 프로그램 등의 첨부파일로 업무와 관련된 내용의 메일을 작성해 공격에 사용했다. 2014년 12월 9일부터 12일 까지 한수원 직원 3571명에게 5986통의 파괴형 악성코드를 보냈다. 보안 시스템을 우회하기 위해 한글표준규격에 따라 압축 저장됐으며, 압축 해제시 용량이 90MB로 늘어나도록 세팅했다. 사이버 점죄조직도 사업화되고 있기 때문에 공격 성공률이 낮고, 장기간 공격을 지속해야 하는 전형적인 APT는 특정 조직/정부의 후원을 받아 든든한 자금을 바탕으로 진행하는 공격이 아니라면 지양하는 분위기다. 공격자들은 더울 저렴한 비용으로 높은 효과를 볼 수 있는 공격 방법을 찾아냈다. 공격에 이용할 악성코드는 자동화된 툴을 이용해 범용적으로 생산할 수 있게 되면서 공격자들은 타겟 맞춤형 공격이 아니라 대량 유포로 여러 조직을 공격하게 됐다. 복합쇼핑몰에서 자신이 원하는 상품을 구입하듯, 사이버 범죄자들도 지하시장에서 공격 목표와 티겟 시스템의 성격에 맞는 공격툴을 구입해 쉽게 공격을 진행하고 있다. 그 영향으로 동종업계 혹은 유사한 산업군, 그룹사를 공격하는 비슷한 유형의 악성코드가 일시에 뿌려지기도 한다. 파이어아이가 발견한 국내 한 그룹사 대상 공격의 경우, 각사에서 발견된악성코드가 동일한 C&C 서버를 사용하고 있었으며, 악성코드가 동일한 C&C서버를 사용하고 있었으며, 악성코드의 유사성이 대부분 일치해 동일 공격그룹에 의한 침해사고 혹은 침해도구로 추정했다.

2014년 여름, 발전소 관련 시설에 악성코드가 대량으로 유포된 정황이 발견됐는데, 이 해 말 한수원 해킹 사고가 발생했다. 즉 유사 산업군을 대상으로 한 악성코드가 대량으로 생산돼 유포된 뒤 공격을 진행하고 있다는 뜻이다. 카스퍼스키랩 보고서에서는 앞으로 APT는 감뎜된 시스템에 남아 있는 흔적을 줄여 탐지를 피하는 메모리 상주형 혹은 파일리스트형 악성코드로 발전할 것이며, 직접 제작하는 악성코드가 아니라 이미 만들어진 기성품 형태의 악성코드를 가공해 사용하는 방식이 증가할 것ㅇ리라고 내다봤다. 이를 통해 악성코드 플랫폼이 발각되어도 타격을 입지 않으며, 수많은 원격관리툴 사용 기록 속에 해킹조직의 정체와 의도를 감출 수 있게 된다. 포티넷은 공격의 변화에 대해 "이제 APT는 일상적인 공격이 됐다"고 설명한다. 중요도가 높은 기업/기관일수록 상시적인 사이버 공격에 시달린다. 공격자들은 목표로 삼은 네트워크 무수히 많은 악성코들 침투시키면 포렌식 기술에 의해 공격 입구가 발견되기 때문에 정교한 침투 방법을 연구하고, 침투흔적을 지운다. 기업들은 침해흔적을 찾아내어도 해당 침해 사고가 어떤 피해를 입혔는지 알수 없게 된다.

인텔리전스로 대응하라

정교하고 까다롭게 진행되는 사이버 공격을 방어하기 위해서는 인테리전스가 필요하다. 공격이 진행되는 단계별로 최적화된 보안 기술을 적용해야 하며, 위협정봉롸 방어정보를 적절하게 조합해 효과적인 대응 전략을 적용할 수 있는 지능적인 방어가 이뤄져야한다. APT 공격이 이전과 다른 양상으로 진화되고 있다고 해도, 결국  APT는 시스템이나 사람의 보안 취약점을 이용해 보안 시스템을 우회하는 악성코드를 침투시켜 정보유출 혹은 시스템 오작동이나 파괴를 일으키려는 목적을 갖는다. APT공격이 진행되는 단계는 다음과 같다.

1. 취약점 탐색

공격자는 목표 시스템으로 침투하기 위한 통로를 찾아본다. 관리가 안되고 방치된 서버, 웹사이트, 보안 정책을 잘 안지키는 임직원, 목표 시스템 관리 권한을 가진 관리자 등을 찾아보며, 최초 침투에 필요한 취약점 공격 툴을 선정한다.

2. C&C통신, 페이로드

시스템 내부로 침투한 공격자는 외부 C&C서버와 통신하며 페이로드를 받은 후 공격을 시작한다. 페이로드를 통해 공격툴 킷 실행되면 최초 침투에 사용된 악성코드를 지워 침해경로를 알 수 없게 해 포렌식 조사를 무력화 한다.

3. 정보유출, 시스템 파괴 혹은 오작동

시스템에 설치된 공격툴킷은 목표 시스템으로 침투해 정보를 빼낸다. 정보유출 방지 시스템에 탐지되지 않도록 조금씩 유출해내며, 유출하는 서버는 분산된 클라우드를 이용한다.

4. 공격지속, 확산, 탈출

공격자는 공격이 차단되기 전 까지 필요한 정보를 지속적으로 빼돌리고 다른 시스템에 숨어서 새로운 정보를 유출해 온 사이버 스파이도 발견된다. 공격을 마쳤거나 공격이 탐지됐을 때는 공격흔적을 지우고 탈출한다. 공격 흔적을 지우기 위해 시스템을 파괴하거나 DDoS 공격을 을으켜 보안팀을 혼란하게 만든 후 증거를 삭제하고 도망간다. 정보를 저장한 클라우드 서버는 다른 클라우드로 이관한 후 서비스를 중단해 추적을 피한다. 

지능형 방어 순환고리

이와같은 APT공격을 막기 위해서는 지능형 방어의 순환고리가 연결돼야 한다. 지능형 방어의 순환고리는 다음과 같다. 

1. 취약점 점검과 보안 교육

평소 전사 시스템의 취약점을 점검해 알려지지 않은 취약점이 시스템에 남아있지 않도록 한다. 임직원 보안교육을 통해 임직원의 습관을 악용하는 공격에 당하지 않도록 하며, 모의해킹과 훈련을 통해 시스템과 임직원이 지능형 공격에 대응할 수 있는 준비가 되어 있는지 점검한다. 더불어 글로벌 위협 인텔리전스를 통해 전 세계에서 일어나고 있는 위협에 대한 대응책을 마련하도록 한다.

2. 최초 침투 지점 보안 강화

침투가 이뤄지는 엔드포인트와 이메일, 웹을 관리한다. 각 지점에 필요한 보안 시스템을 설치하고, 취약점 패치는 즉시 적용하며, 백신과 같은 보안 시스템의 실시간 감시 기능을 활성화 시킨다. 위험한 웹, URL에 접속하지 않도록 블랙기스트 기반 접속제한 정책을 적용한다. 글로벌 위협 인텔리전스를 연동해 새로운 위협이 침투하는 지 살펴본다.

3. 내부 시스템에서 침해 행위 탐지, 대응

내부로 침투한 공격에 대해서는 네트워크 샌드박스로 알려지지 않은 악성코드를 찾아 제거하고, 행위기반 분석기술을 상요해 외부와 의심스러운 통신을 찾아 제거한다. 포렌식, SIEM/로그관리, 보안관리 시스템을 통해 의심스러운 행위를 탐지해 차단한다. 글로벌 위협 인텔리전스를 연동해 침투한 의심파일에 대산 분석 정보가 있는지 비교한다.

4. 계정, 접근권한 관리 / 사용자 인증강화

주요 시스템에 대한 계정접근권한 관리를 철저히 해 불법적인 접근이 일어나지 않도록 하며, 시스템과 본인인증을 강화해 원격에서 관리하는 공격자가 정상 사용자의 권한을 탈취하지 않도록 한다.

5. 침해사고 조사, 대응

공격이 진행되는 과정에서 차단하기 위해서는 침해흔적 조사가 필요하다. 정교한 포렌식 기술을 이용해 시스템이나 네트워크에 남아있는 침해흔적을 찾고 해당 침해가 일어난 과정과 피해범위를 조사해 공격이 확산되는 것을 차단한다. 회귀분석을 통해 공격이 발생한 경로를 역추적해 최초 침입지점을 막아 추가 공격을 예방한다.

6. 위협 인텔리전스 적용 보안관제로 공격 상시 모니터링

보안관제 시스템을 잉요해 공격이 진행되는 과정을 모니터링하고 대응방안을 적용하며, 글러벌 인텔리전스를 이용해 발견되지 않은 새로운 공격이 진행되고 있는지 찾아본다

날이 갈 수록 공격은 더욱 지능화 되고 과감해 지며, 치명적으로 진화하고 있다. 보안 솔루션 업계도 마찬가지로 각종 공격에 대한 방패 솔루션을 앞다퉈 내놓고 있다. 이 세상에 인류가 존재하고, 통신이 존재하고, 데이터가 존재하는 이상 보안 이슈는 계속해서 지속될 것이다. 뚫는자, 막는자, 승자는 없다. 뚫으면 막는다. 또한 막으면 뚫는다.