APT(Advanced Persistent Threat)이라는 용어는 일반적으로 해커가 맞춤형 또는 탐지하기 어려운 툴을 사용해 시스템에 침투한 다음, 수동 해킹을 동원한 잠행 기법을 사용해 횡적 이동을 수행하는 표적화된 공격을 지칭하는 데 사용된다. 전통적으로 이와 같은 접근 방법은 최대한 많은 비밀을 살펴보고 훔치기 위해 장기간 동안 발각되지 않는 것을 목표로 하는 첩보 그룹이 즐겨 사용해왔다.
반면 사이버범죄 그룹은 지하 시장에서 구입한 악성코드를 사용해 알려진 취약점을 이용하고 광범위한 공격을 감행하며, 일반적으로 잠행보다는 신속한 투자 회수에 중점을 둔다. 무엇보다 사이버범죄 그룹이 첩보전 그룹과 다른 점은 피해자 계좌에서 직접 돈을 훔치거나 모종의 방식으로 수익화할 수 있는 데이터를 훔치거나 피해자에게 몸값 및 가짜 벌금을 입금하게 하는 등 금전적 이득을 동기로 움직인다는 데 있다.
그러나 최근 확인된 중대한 사이버범죄 공격의 대부분은 APT 기법을 사용한 것으로 나타났다. 카스퍼스키 랩(Kaspersky Lab)의 글로벌 연구 및 분석 팀 이사인 코스틴 라이우는 CSO와의 인터뷰에서 두 그룹이 서로의 기법을 학습하면서 기술적인 경계가 사라지고 있다고 말했다.
이제는 사이버 첩보전 그룹이 조사 과정에 혼선을 주기 위한 목적으로 공개 판매되는 악성코드를 사용하고, 사이버범죄 그룹이 잠행과 수동 해킹을 공격의 중요한 요소로 사용한다. 예를 들어 북한의 라자러스(Lazarus) 그룹은 특이한 APT 그룹으로, 한때는 첩보전과 사보타주 활동을 주로 했지만 이후 금전적 이득을 취하는 공격으로 방향을 바꿨다. 지난 몇 년 사이 라자러스 그룹은 전 세계 곳곳의 중앙 은행과 암호화폐 교환소를 공격했으며 동기는 장기간 경제 제재를 받고 있는 북한 정부를 위한 자금 조달로 추정된다.
다른 한편에서는 카바낙(Carbanak)과 같은 사이버범죄 조직이 APT 형태의 공격을 사용해 전 세계 은행 및 기타 금융 기관으로부터 수억 달러의 돈을 훔쳤다. 이와 같은 새로운, 더 정교해진 사이버범죄 그룹은 공격 대상의 네트워크 내에 몇 주 또는 몇 개월 동안 숨어 활동하면서 광범위한 액세스 권한을 획득하고 조직의 업무 흐름을 파악한 다음 공격을 감행한다.
APT 환경이 바뀌는 이유
팀 모러는 "크게 두 가지 추세가 있다고 본다"면서, "첫 번째는 일부 국가에서 나타나는 추세로, 정부에 이익이 되는 한 범죄자에게 특정 유형의 활동을 허용하는 형태로 정부-범죄자 관계가 형성되고 있다"고 말했다.팀 모러는 "사이버 용병: 정부, 해커, 그리고 권력(Cyber Mercenaries: The State, Hackers, and Power)"의 저자이자, 해외 정책 씽크탱크인 카네기 국제평화재단(Carnegie Endowment for International Peace)의 사이버 정책 이니셔티브 공동 책임자이기도 하다.
보안 커뮤니티에는 오래 전부터 러시아 또는 중국과 같은 국가의 정보 기관이 첩보 활동을 위해 사이버범죄자들을 직접 또는 중개자를 통해 고용한다는 소문이 있었다. 이런 소문은 2017년 미국 법무부가 야후 네트워크 침입을 위해 범죄자 해커를 고용한 혐의로 러시아 연방 보안국(FSB) 소속의 두 요원을 기소하면서 사실로 드러났다.
첩보 작전에 사이버범죄자를 고용하는 추세는 당연히 더 정교한 기법, 전술 및 절차(TTP)의 교환으로 이어지고, 이렇게 교환된 TTP는 범죄 활동에도 사용된다. 모러는 두 활동 그룹 간 기법의 융합은 두 번째 추세로 이어지는 경향이 강하다고 말했다. 첫 번째보다 더 우려되는 두 번째 추세는 사이버 역량 및 행위자의 전반적인 확산이다.
모러는 "상호 최선의 학습이 지속적으로 이뤄진다고 생각한다"면서, "범죄자가 정부보다 더 나은 부분도 있고, 정부가 더 잘하는 부분도 있다. 두 행위자가 서로에게서 배운다. 이러한 정보의 상당부분이 공개적으로, 전 세계적으로 제공되고 있기 때문이다"고 말했다.
모러에 따르면, 지금은 10년 전에 비해 훨씬 더 많은 국가가 공격을 위한 사이버 역량을 갖추고 있으며 이러한 역량을 확보하기 위해 일부 정부는 사이버범죄자의 악성코드 툴을 차용한다. 실제로 더 기능이 뛰어나서 차용하는 경우도 있고 변장을 위한 경우도 있다. 섀도우 브로커(Shadow Brokers) 그룹이 NSA가 사용한 툴셋 중 하나로 알려진 이터널블루(EternalBlue) 익스플로잇을 유출했을 때도 정부 지원 그룹과 범죄 그룹 모두 이 도구를 각자의 활동에 통합했다.
모러는 "정부가 이러한 툴을 개발, 사용하고 이터널블루 사례와 같이 분실함에 따라 결국 범죄자의 손에 해당 툴이 넘어가고 복제된다. 그러면 범죄자들은 더 진보된 기술을 갖추게 되고, 활동을 시작한지 얼마 안 된 않은 정부도 더 정교한 범죄 도구를 사용할 수 있게 된다. 무한 반복되는 발전 과정이므로 최고의 리소스를 보유한 기업만이 위협의 진화에 대처할 수 있다"고 설명했다.
사이버범죄자들이 도입하는 APT 기법
현재 많은 사이버범죄 공격은 파워셸 및 기타 윈도우 시스템용 기본 유틸리티를 사용한다. 보안 업계에서 "자급자족식(living off the land)"으로 통하는 이 방법은 탐지하기가 더 어렵다. 전통적인 악성코드 프로그램과 달리 툴 자체가 원래부터 악성은 아니기 때문이다. 파워셸은 시스템 관리 작업을 자동화하기 위한 용도로 광범위하게 사용된다. 마이크로소프트가 사용을 제한하기 위한 몇 가지 옵션을 추가했지만 IT 팀 입장에서 파워셸을 완전히 비활성화할 경우 업무가 훨씬 더 어렵게 되므로 아예 사용하지 않을 수는 없다.파워셸 오용은 최근 보편화된 다른 수법인 파일리스(fileless) 공격과도 연계된다. 파일리스 공격은 해커가 시스템에서 실행되는 정상 프로세스의 메모리에 원격 스레드 주입, APC, 원자폭탄, 프로세스 할로윙, 로컬 셸코드 주입 또는 반사 로딩과 같은 다양한 기법을 사용해 악성코드를 주입하는 방식의 공격이다.
파워셸은 초기 페이로드로 실행된다는 점 외에 시스템 레지스트리에 무단 스크립트를 추가해 지속성을 확보하거나 재부팅 후 시스템 재주입을 위해 작업을 예약하기 위한 용도로도 빈번히 사용된다. 다른 프로세스의 메모리에 주입된 코드는 시스템이 꺼지면 삭제되기 때문이다.
파일리스 기법만 집중적으로 사용하는 사이버범죄 그룹으로는 카바낙 그룹의 한 분과로 추정되는 FIN7이 있다. 카나박은 은행 및 기타 금융 기관을 주로 공격하지만 FIN7은 레스토랑 및 숙박 분야 업체와 소매점을 주 공격 대상으로 삼는다. 목표는 POS 시스템에 침투해서 결제카드 데이터를 훔치는 것이다. 미국 법무부는 지난 8월 FIN7의 고위급 구성원으로 추정되는 3명의 용의자를 기소하면서 FIN7이 그동안 미국 전역의 3,600여 사업소에 걸쳐 6,500개 이상의 POS 터미널을 침해해 1,500만 개의 결제카드 기록을 훔쳤다고 밝혔다.
사이버범죄자와 정부 후원 그룹 모두 침투 테스트와 같은 합법적인 목적으로 만들어진 무료 오픈소스 툴도 활용한다. 메타스플로잇(Metasploit) 프레임워크, 파워스플로잇(PowerSploit) 프레임워크, 엠파이어 파워셸(Empire PowerShell), 코발트 스트라이크(Cobalt Strike) 프레임워크 등 인증 정보 폐기, 파일 삭제 등의 용도로 사용되는 무료 유틸리티 등이다.
라이우는 보안 업체와 악성코드 연구자가 직면하는 가장 큰 문제 가운데 하나는 파워셸을 악용하는 그룹의 수가 늘어나고 이들이 사용하는 스크립트의 상당수가 깃허브 및 기타 공개 소스에서 복사되는 탓에 공격을 감행한 그룹을 특정하기가 매우 어려워지고 있다는 점이라고 말했다.
라이우는 제어 명령(C&C) 서버의 등록 데이터, 이전 공격과의 기술적 유사성, 키로거, 스크린샷 그래버, 익스플로잇과 같은 맞춤형 툴의 간헐적인 사용 역시 공격 진원 그룹을 특정하는 데 사용할 수 있지만 일반적으로 진원지를 찾기가 점점 더 어려워지고 있다고 말했다.
사이버범죄 그룹의 APT 공격이 기업에 미치는 영향
기업 및 기타 조직은 IT 보안 전략을 개발하고 한정된 보안 예산을 어떻게 쓸지를 결정할 때 위협 모델을 사용한다. 즉, 해당 업종과 시스템에 가장 큰 위협이 되는 위협과 공격자의 유형을 판단하고 이에 상응하도록 리소스를 우선 배정한다. 결과적으로 일반적인 사이버 첩보전의 목표물이 아닌 많은 기업은 APT에 대비한 견고한 방어를 구축하지 않으므로 새로운 하이브리드 사이버범죄 공격에 대해서는 무방비 상태가 된다.APT 스타일의 공격을 탐지하려면 엔드포인트 안티바이러스 프로그램 및 방화벽만으로는 부족하다. SIEM(Security Information and Event Management)와 EDR(Endpoint Detection and Response) 솔루션이 필요하다. 이런 제품은 시스템 및 네트워크 활동을 모니터링하고 잠재적으로 의심스러운 행동을 로깅하고 보안 팀의 관심이 필요한 경보를 생성한다.
이를 위해서는 더 전문적으로 훈련된 관리 직원이 필요한데, 예산이 한정되고 전반적으로 사이버보안 기술도 부족한 중견중소 기업에게는 어려운 일이다. 솔루션을 구축할 여력이 있는 대기업이라 해도 많은 양의 경보에 대처하는 데 어려움을 겪는 경우가 많다. 결국 백로그와 경보 피로로 이어지고, 경보가 너무 많이 생성되는 탓에 중요할 수도 있는 경보를 간과하는 사태가 발생할 수 있다.
라이우는 "안타깝게도 기업에서는 실질적인 위협만 포착하는 소수의 피드를 구독하는 대신 매일 수천 개의 경보를 생성하는 수백만 개의 위협 지표가 포함된 피드를 구매하는 경우가 많다"고 말했다. 경보를 조사하기 위한 리소스 못지않게 툴에 사용되는 피드의 품질도 중요하다. 물론 모든 작업을 관리형 서비스 제공업체에 위탁하는 것도 한 가지 방법이고, 많은 보안 기업이 SMB를 위해 이와 같은 서비스를 제공한다.
라이우에 따르면, 기업은 정교한 기술을 갖춘 집요한 공격자의 침투를 차단할 수 없다는 사실을 감안하고, 이러한 침투를 포착해 대응하기까지 소요되는 시간을 단축하는 솔루션에 집중해야 한다. 네트워크와 인터넷 트래픽 또는 엔드포인트 동작에서 이상 현상을 탐지할 수 있는 모니터링 솔루션을 배치해야 한다는 의미다. 라이우는 "예산이 많지 않은 중견중소 기업에서도 가능한 일"이라고 말했다.
팀 모러는 중소규모 기업의 경우 클라우드로의 마이그레이션도 이런 유형의 정교한 공격으로부터 스스로를 보호하기 위한 좋은 솔루션이 될 수 있다고 말했다. 클라우드 제공업체가 보유한 대규모 보안 팀의 전문성과 더 우수한 기술이 주는 혜택을 이용할 수 있기 때문이다. editor@itworld.co.kr