2014.02.26

APT 공격에 맞서기 위한 6가지 조언

Taylor Armerding | CSO

APT 공격의 성공사례는 너무나 많이 알려져 있어 이를 상시 감지하고 방어하는 것은 매우 어려워 보인다.

미국 정부 관리들로부터 나온 여러 보고서와 발표에 따르면 중국의 해커들이 주요 신문사로부터 방위 산업체나 최신 기술을 보유한 IT 기업까지 미국 기업들의 모든 시스템에 침투한다고 밝히고 있다.

또한 수십억 달러에 이르는 지적 재산권이나 무기 디자인이 유출되더라도 이를 감지하는 데에는 많은 시간이 걸린다고 한다.

미 국방장관 척 헤이글과 NSA 및 국토안보부의 관계자들은 APT 공격이 현대의 보안 위협이 된다고 말했다.

척 헤이글은 하와이에서 미군들을 대상으로 "사이버 공격은 감지되지 않는데도 치명적이며 끊임없이 나타난다. 이는 물리적인 육해공의 공격과는 다르다. 하지만 매우 어렵고 실체적이며 위험성이 높은 위협이다. 이 보다 더 중요한 이슈는 없다"고 언급한 적이 있다.

APT 공격은 더 이상 많은 자원을 가진 국가를 대상으로 하는 것이 아니며, 염탐 행위나 다른 국가나 군대에 대한 위협에만 초점을 맞춘 것도 아니다. 이는 현재 IT, 에너지, 뉴스, 통신, 제조업을 포함한 다양한 경제 분야에서 실존하는 위협이다.

하지만 일부 보안전문가에 따르면, 완전히 APT 공격을 근절할 수는 없더라도 APT를 감지하고 이들이 야기하는 위협을 최소화할 수는 있다.

팔로알토 네트웍스(Palo Alto Networks)의 수석 보안 애널리스트 웨이드 윌리엄슨은 "이 문제에 대한 해결책이 있고 이는 언제나 그러하다. 많은 경우에 있어 보안 전문가는 APT 공격을 자신들의 보안 실패에 대한 근거로 제시하지만, 이런 일은 용납되어서는 안 된다. APT 공격을 저지할 수 있는 기술들이 있기 때문"이라고 주장했다.

윌리엄슨은 APT 공격에 대한 감지와 방어가 단순히 기술적인 지원 이상의 것을 필요로 하다고 보는 입장을 가진 사람 가운데 한 명이다. 윌리엄슨은 "일반적으로 볼 때 우리가 필요로 하는 가장 큰 변화는 전술이 아니라 전략이다. 보안은 창조적 원칙으로 거듭나야만 한다"고 말했다.

윌리엄슨은 "전통적으로 보안은 전체 위협의 100%를 막는 것에 대해 확신하지 않는다. 또한 하지만 이러한 관행은 오늘날 더 이상 유효하지 않다. 우리는 이런 문제에 의문을 가진 보안 전문가들이 필요하다. 이들은 이치에 맞지 않는 문제를 찾고 자신에게 이것이 가진 의미가 어떤 것이며 문제를 깊게 바라보기 위해 어떠한 방법을 취해야 하는지 고민해야 한다"고 설명했다.

또한 "외부의 위협으로부터 보호할 수 있는 자동화된 보안을 언제나 확보해야 한다. 하지만 동시에 창의적이고 문제에 집중하는 보안 전문가가 해커들을 차단할 수 있어야 한다"고 덧붙였다.

이런 상황에서 보안 전문가들이 APT 공격을 차단하고자 하는 조직으로 하여금 도입을 권장하는 여러 모범 사례들이 있다. 무작위 순으로 이들을 제시한다.

- 분석과 감지에 빅데이터 기술 사용
RSA 의장인 아트 코비엘로는 2013년 RSA 컨퍼런스 기조연설에서 "거시적인 예방 위주의 정책에서 벗어나는 것이 필요하다. 빅데이터를 통해 여러분들은 APT 공격을 감지하고 이에 신속히 대응할 수 있다"고 말했다.

이와 비슷한 견해를 갖는 사람도 있다. 시큐러트(Seculert)의 공동창업자이자 CTO인 아비브 라프는 "방어망을 통한 예방은 불가능하다. 따라서 감지는 반드시 '데이터 분석으로부터 시작돼야 하며 시간을 투입해 지속적으로 해야 한다. 그리고 이런 상황에서 빅데이터 애널리틱스가 중요해진다"고 말했다.

물론 이 방법은 분석 툴에 대한 투자를 필요로 한다. 담발라(Damballa) CTO 브라이언 포스터는 "IT는 적절한 시점에 감염을 감지할만한 자동화된 도구를 갖고 있지 않다. 대신 엄청난 양의 데이터가 있다. IT 업계는 빅데이터 접근법을 통해 IT로 하여금 네트워크 감염을 찾을 수 있도록 해야 한다"고 말했다.

이에 대해 윌리엄슨도 부분적으로 동의하며 빅데이터가 감지에 유용하다는데 동의했다. 하지만 윌리엄슨은 "가장 중요한 것은 공격 그 자체가 다양한 단계로, 그리고 다양한 기술에 퍼져 있다는 것이며 우리의 보안에 대한 관점은 포괄성을 확보하기 위해 통합적 관점을 수용해야 한다"고 덧붙였다.

- 필요한 관계자와 정보를 공유하는 것
안톤 추바킨의 지난해 가트너 블로그 포스팅에 따르면, "IT 해커들은 데이터 유출과 관련한 트릭과 방법을 보안 전문가들에 비해 더 많이 공유한다고 한다. 안톤 추바킨은 "어렵게 얻은 지식을 가만히 앉아서 얻는 것에 대해 사람들은 이상하게 생각하지 않는데, 문제는 바로 그 지식이 자신이 속한 조직에게 APT 공격을 받게 하는 지식이다. 따라서 보안의 위협은 계속된다"고 밝혔다.



2014.02.26

APT 공격에 맞서기 위한 6가지 조언

Taylor Armerding | CSO

APT 공격의 성공사례는 너무나 많이 알려져 있어 이를 상시 감지하고 방어하는 것은 매우 어려워 보인다.

미국 정부 관리들로부터 나온 여러 보고서와 발표에 따르면 중국의 해커들이 주요 신문사로부터 방위 산업체나 최신 기술을 보유한 IT 기업까지 미국 기업들의 모든 시스템에 침투한다고 밝히고 있다.

또한 수십억 달러에 이르는 지적 재산권이나 무기 디자인이 유출되더라도 이를 감지하는 데에는 많은 시간이 걸린다고 한다.

미 국방장관 척 헤이글과 NSA 및 국토안보부의 관계자들은 APT 공격이 현대의 보안 위협이 된다고 말했다.

척 헤이글은 하와이에서 미군들을 대상으로 "사이버 공격은 감지되지 않는데도 치명적이며 끊임없이 나타난다. 이는 물리적인 육해공의 공격과는 다르다. 하지만 매우 어렵고 실체적이며 위험성이 높은 위협이다. 이 보다 더 중요한 이슈는 없다"고 언급한 적이 있다.

APT 공격은 더 이상 많은 자원을 가진 국가를 대상으로 하는 것이 아니며, 염탐 행위나 다른 국가나 군대에 대한 위협에만 초점을 맞춘 것도 아니다. 이는 현재 IT, 에너지, 뉴스, 통신, 제조업을 포함한 다양한 경제 분야에서 실존하는 위협이다.

하지만 일부 보안전문가에 따르면, 완전히 APT 공격을 근절할 수는 없더라도 APT를 감지하고 이들이 야기하는 위협을 최소화할 수는 있다.

팔로알토 네트웍스(Palo Alto Networks)의 수석 보안 애널리스트 웨이드 윌리엄슨은 "이 문제에 대한 해결책이 있고 이는 언제나 그러하다. 많은 경우에 있어 보안 전문가는 APT 공격을 자신들의 보안 실패에 대한 근거로 제시하지만, 이런 일은 용납되어서는 안 된다. APT 공격을 저지할 수 있는 기술들이 있기 때문"이라고 주장했다.

윌리엄슨은 APT 공격에 대한 감지와 방어가 단순히 기술적인 지원 이상의 것을 필요로 하다고 보는 입장을 가진 사람 가운데 한 명이다. 윌리엄슨은 "일반적으로 볼 때 우리가 필요로 하는 가장 큰 변화는 전술이 아니라 전략이다. 보안은 창조적 원칙으로 거듭나야만 한다"고 말했다.

윌리엄슨은 "전통적으로 보안은 전체 위협의 100%를 막는 것에 대해 확신하지 않는다. 또한 하지만 이러한 관행은 오늘날 더 이상 유효하지 않다. 우리는 이런 문제에 의문을 가진 보안 전문가들이 필요하다. 이들은 이치에 맞지 않는 문제를 찾고 자신에게 이것이 가진 의미가 어떤 것이며 문제를 깊게 바라보기 위해 어떠한 방법을 취해야 하는지 고민해야 한다"고 설명했다.

또한 "외부의 위협으로부터 보호할 수 있는 자동화된 보안을 언제나 확보해야 한다. 하지만 동시에 창의적이고 문제에 집중하는 보안 전문가가 해커들을 차단할 수 있어야 한다"고 덧붙였다.

이런 상황에서 보안 전문가들이 APT 공격을 차단하고자 하는 조직으로 하여금 도입을 권장하는 여러 모범 사례들이 있다. 무작위 순으로 이들을 제시한다.

- 분석과 감지에 빅데이터 기술 사용
RSA 의장인 아트 코비엘로는 2013년 RSA 컨퍼런스 기조연설에서 "거시적인 예방 위주의 정책에서 벗어나는 것이 필요하다. 빅데이터를 통해 여러분들은 APT 공격을 감지하고 이에 신속히 대응할 수 있다"고 말했다.

이와 비슷한 견해를 갖는 사람도 있다. 시큐러트(Seculert)의 공동창업자이자 CTO인 아비브 라프는 "방어망을 통한 예방은 불가능하다. 따라서 감지는 반드시 '데이터 분석으로부터 시작돼야 하며 시간을 투입해 지속적으로 해야 한다. 그리고 이런 상황에서 빅데이터 애널리틱스가 중요해진다"고 말했다.

물론 이 방법은 분석 툴에 대한 투자를 필요로 한다. 담발라(Damballa) CTO 브라이언 포스터는 "IT는 적절한 시점에 감염을 감지할만한 자동화된 도구를 갖고 있지 않다. 대신 엄청난 양의 데이터가 있다. IT 업계는 빅데이터 접근법을 통해 IT로 하여금 네트워크 감염을 찾을 수 있도록 해야 한다"고 말했다.

이에 대해 윌리엄슨도 부분적으로 동의하며 빅데이터가 감지에 유용하다는데 동의했다. 하지만 윌리엄슨은 "가장 중요한 것은 공격 그 자체가 다양한 단계로, 그리고 다양한 기술에 퍼져 있다는 것이며 우리의 보안에 대한 관점은 포괄성을 확보하기 위해 통합적 관점을 수용해야 한다"고 덧붙였다.

- 필요한 관계자와 정보를 공유하는 것
안톤 추바킨의 지난해 가트너 블로그 포스팅에 따르면, "IT 해커들은 데이터 유출과 관련한 트릭과 방법을 보안 전문가들에 비해 더 많이 공유한다고 한다. 안톤 추바킨은 "어렵게 얻은 지식을 가만히 앉아서 얻는 것에 대해 사람들은 이상하게 생각하지 않는데, 문제는 바로 그 지식이 자신이 속한 조직에게 APT 공격을 받게 하는 지식이다. 따라서 보안의 위협은 계속된다"고 밝혔다.



X