2013.04.19

기고 | APT 공격 방법과 이에 대처하는 기업의 자세

문일준, 빛스캔 대표이사 | ITWorld

지난 3월 20일 발생한 사이버 테러 이후 APT(Advance Persistent Threat, 지능형 지속 위협)가 발생가능한 것을 넘어 실제 막대한 피해 사례가 나타나면서 각 공공기관뿐만 아니라 민간 기업에 이르기까지 관심이 고조되고 있다.

하지만, 아직까지도 APT에 대한 정확한 정의, 그리고 기업이나 조직 내에서 APT에 효과적으로 대응할 수 있는 기본적인 가이드조차도 없는 것이 지금의 현실이다.

이번 기고에서는 APT에 대한 현실적인 대처 방안과 기업의 보안 인프라에서 구축할 때 고려해야 할 사항에 대해 알아보자.

APT라고 면책이 될 수 없다
출처나 유래를 떠나 APT 공격은 방화벽, IDS/IPS, 안티바이러스와 같은 전통적인 보안 솔루션이 결합된 체계에서 예방, 진단, 그리고 차단이 어렵거나 불가능한 새로운 공격 방식을 말한다. 특히, 제로데이와 사회공학적 공격이 가미되면서 탐지가 어려운 경우가 많다.

특히, 백신 업체에서 APT 등으로 인한 공격으로부터 책임을 면피하기 위해 'APT는 예방이 어렵다', '새로운 기술을 개발 중이다', '개발한 제품을 도입했다면 차단이 가능했었다' 등의 여러 가지 변명이 쏟아지고 있다.

하지만, APT 공격은 이번이 처음일까? 분명 이메일이나 웹사이트를 통해 감염된 실제적인 파일에 대해서 진단하지 못한 부분에 대해서는 고민이 필요한 부분이다.

APT는 어떻게 공격이 이뤄지는가?
1980년대 초반, 후천성면역결핍증(AIDS)이 아프리카의 풍토병에서 전세계로 퍼져나가면서 일약 불치병의 대명사가 됐다. AIDS를 언급한 이유는 바로 바이러스의 출처가 어디인지 그리고 어떻게 퍼져갔는지에 대한 역학 조사가 이뤄져야만 실제적인 예방이나 치료할 수 있는 발판을 마련하기 때문이다.

앞서 언급했다시피, APT는 기존 전통적인 보안 장비를 모두 우회하거나 탐지할 수 없도록 교묘하게 제작된 것으로 알려져 있으며, 주로 웹사이트를 통한 감염과 이메일을 통한 감염 등 두 가지로 나눌 수 있다.

웹(Drive-by-Download)을 통한 감염
웹사이트를 통해 감염된다는 의미는 보통 게시물이나 자료실에서 악성코드에 감염된 파일을 다운로드해 그것을 통해 감염된다는 의미다.

하지만, 수년 전부터 국내에 유행하기 시작한 드라이브바이다운로드(Drvie-by-download)는 보안 패치가 충분치 못한 PC 사용자가 악성코드가 삽입된 웹사이트에 방문하는 것 자체만으로 사용자의 인지없이 자동으로 악성코드가 다운로드, 실행되어 감염되는 방식으로 현재까지도 꾸준히 사용된다.

참고로, 해외에서는 이런 공격을 표적 공격(Watering hole attack)이라고 부르지만, 이미 국내에서는 보편화된 상태다. 국내에서는 액티브 X(Active-X)라고 하는 전 세계에서 유례없는 다운로드 방식을 고수하고 있지만, 현재 APT 공격에 사용되는 경우는 미미한 편으로 볼 수 있다.

이메일을 통한 감염
스팸 이메일을 통해 APT 공격을 수행하며, 이 또한 두 가지 형태로 나눌 수 있다. 첫째는 앞서 언급한 것과 유사한 것으로 이메일의 본문에 악성코드가 삽입된 웹사이트 링크를 넣어둠으로써 사용자가 이를 클릭하여 감염되는 방식이다.

다른 하나는 바로 첨부파일에 대한 공격으로 이 또한 다시 세부적으로 다음과 같은 두 가지 방식으로 나눌 수 있다.

- 첨부파일이 실행파일인 경우 : 대부분 스팸 차단 장비 또는 소프트웨어를 통해 미연에 손쉽게 차단할 수 있으며, 대표적인 예로는 구글이 있다. 심지어 구글에서는 ZIP으로 압축된 파일 내에 포함된 실행파일이 있는 경우까지도 차단한다.

- 첨부파일이 DOC, HWP와 같은 문서파일인 경우 : 특정 애플리케이션의 취약점, 특히 제로데이 취약점을 이용하는 공격으로 전통적인 안티바이러스, 안티스팸으로는 진단과 차단이 어려우며 대부분 가상 머신 또는 유사한 솔루션으로만 진단할 수 있다.



2013.04.19

기고 | APT 공격 방법과 이에 대처하는 기업의 자세

문일준, 빛스캔 대표이사 | ITWorld

지난 3월 20일 발생한 사이버 테러 이후 APT(Advance Persistent Threat, 지능형 지속 위협)가 발생가능한 것을 넘어 실제 막대한 피해 사례가 나타나면서 각 공공기관뿐만 아니라 민간 기업에 이르기까지 관심이 고조되고 있다.

하지만, 아직까지도 APT에 대한 정확한 정의, 그리고 기업이나 조직 내에서 APT에 효과적으로 대응할 수 있는 기본적인 가이드조차도 없는 것이 지금의 현실이다.

이번 기고에서는 APT에 대한 현실적인 대처 방안과 기업의 보안 인프라에서 구축할 때 고려해야 할 사항에 대해 알아보자.

APT라고 면책이 될 수 없다
출처나 유래를 떠나 APT 공격은 방화벽, IDS/IPS, 안티바이러스와 같은 전통적인 보안 솔루션이 결합된 체계에서 예방, 진단, 그리고 차단이 어렵거나 불가능한 새로운 공격 방식을 말한다. 특히, 제로데이와 사회공학적 공격이 가미되면서 탐지가 어려운 경우가 많다.

특히, 백신 업체에서 APT 등으로 인한 공격으로부터 책임을 면피하기 위해 'APT는 예방이 어렵다', '새로운 기술을 개발 중이다', '개발한 제품을 도입했다면 차단이 가능했었다' 등의 여러 가지 변명이 쏟아지고 있다.

하지만, APT 공격은 이번이 처음일까? 분명 이메일이나 웹사이트를 통해 감염된 실제적인 파일에 대해서 진단하지 못한 부분에 대해서는 고민이 필요한 부분이다.

APT는 어떻게 공격이 이뤄지는가?
1980년대 초반, 후천성면역결핍증(AIDS)이 아프리카의 풍토병에서 전세계로 퍼져나가면서 일약 불치병의 대명사가 됐다. AIDS를 언급한 이유는 바로 바이러스의 출처가 어디인지 그리고 어떻게 퍼져갔는지에 대한 역학 조사가 이뤄져야만 실제적인 예방이나 치료할 수 있는 발판을 마련하기 때문이다.

앞서 언급했다시피, APT는 기존 전통적인 보안 장비를 모두 우회하거나 탐지할 수 없도록 교묘하게 제작된 것으로 알려져 있으며, 주로 웹사이트를 통한 감염과 이메일을 통한 감염 등 두 가지로 나눌 수 있다.

웹(Drive-by-Download)을 통한 감염
웹사이트를 통해 감염된다는 의미는 보통 게시물이나 자료실에서 악성코드에 감염된 파일을 다운로드해 그것을 통해 감염된다는 의미다.

하지만, 수년 전부터 국내에 유행하기 시작한 드라이브바이다운로드(Drvie-by-download)는 보안 패치가 충분치 못한 PC 사용자가 악성코드가 삽입된 웹사이트에 방문하는 것 자체만으로 사용자의 인지없이 자동으로 악성코드가 다운로드, 실행되어 감염되는 방식으로 현재까지도 꾸준히 사용된다.

참고로, 해외에서는 이런 공격을 표적 공격(Watering hole attack)이라고 부르지만, 이미 국내에서는 보편화된 상태다. 국내에서는 액티브 X(Active-X)라고 하는 전 세계에서 유례없는 다운로드 방식을 고수하고 있지만, 현재 APT 공격에 사용되는 경우는 미미한 편으로 볼 수 있다.

이메일을 통한 감염
스팸 이메일을 통해 APT 공격을 수행하며, 이 또한 두 가지 형태로 나눌 수 있다. 첫째는 앞서 언급한 것과 유사한 것으로 이메일의 본문에 악성코드가 삽입된 웹사이트 링크를 넣어둠으로써 사용자가 이를 클릭하여 감염되는 방식이다.

다른 하나는 바로 첨부파일에 대한 공격으로 이 또한 다시 세부적으로 다음과 같은 두 가지 방식으로 나눌 수 있다.

- 첨부파일이 실행파일인 경우 : 대부분 스팸 차단 장비 또는 소프트웨어를 통해 미연에 손쉽게 차단할 수 있으며, 대표적인 예로는 구글이 있다. 심지어 구글에서는 ZIP으로 압축된 파일 내에 포함된 실행파일이 있는 경우까지도 차단한다.

- 첨부파일이 DOC, HWP와 같은 문서파일인 경우 : 특정 애플리케이션의 취약점, 특히 제로데이 취약점을 이용하는 공격으로 전통적인 안티바이러스, 안티스팸으로는 진단과 차단이 어려우며 대부분 가상 머신 또는 유사한 솔루션으로만 진단할 수 있다.



X