선택한 단어 수는 입니다.
최소 단어 이상 선택하여야 합니다.
최소 단어 이상 선택하여야 합니다.
선택한 단어 수는 30입니다.
최대 10 단어까지만 선택 가능합니다.
최대 10 단어까지만 선택 가능합니다.
| 키워드 | APT 공격 |
|---|---|
| 저자 | 이슬기 객원기자 |
| 원문 | 사이언스타임즈 |
| 출처 | https://www.sciencetimes.co.kr/?p=136549 |
2013년 3월 20일, 방송사와 금융사의 전산망이 일시에 마비된 사건이 있었다. 인터넷 쇼핑몰과 은행을 노린 해킹 사고도 발생했다. 해외에서는 FBI, CIA, 소니와 같은 특정 조직을 겨냥해 개인정보나 기밀을 유출한 사례도 있었다.
이들 피해의 공통점은 바로 ‘지능적 지속 위협’(Advanced Persistent Threats, APT) 공격을 당했다는 점이다. 차세대 보안 위협으로 지목받고 있는 APT 공격은 기존 표적공격과는 조금 다르다. 기존 표적공격은 목표로 삼은 기업 관계자에게 몰래 접근한 뒤, 바로 데이터베이스에 접근해서 정보를 빼내간다. (관련링크)
하지만 APT 공격의 경우, 오히려 때를 기다리면서 회사와 관련한 모든 정보를 천천히 시간을 들여 살펴본다. 흔적을 남기지 않고 은밀히 활동하면서 회사내 보안 서비스를 무력화시키고 유유히 정보를 유출한다. 정보가 유출된 시점도 곧바로 들어나지 않는다. 흔적을 꼼꼼히 지우면서 들키지 않게 조심스레 공격하기 때문이다.
APT 공격의 특징은 이름에서 찾아볼 수 있다. 먼저, APT는 지능적(Advanced)이다. 지능적인 공격기법을 동시다발로 이용, 표적으로 삼은 대상에 은밀히 침투한다. 프로그램에 문제가 알려지고 난 후 보안패치가 나올 때까지 시간차를 이용하여 공격하는 제로데이 취약점이나, 윈도우 컴퓨터의 마스터 부트 레코드(MBR)를 변경해 컴퓨터에 대한 통제권을 획득하는 루트킷 기법을 이용한다.
지속적(persistent)이라는 것도 하나의 특징이다. 보안 탐지를 피해 은밀히 활동해야 하기 때문이다. APT 공격은 목표로 삼은 시스템에 활동 거점을 마련한 뒤, 정보를 빼내기 위해 꾸준히 해당 시스템에 물리적인 공격을 가한다. 정보가 유출된 시점을 정확히 알지 못하는 이유도 바로 여기에 있다.
또한 확실한 목표(Targeted)를 가지고 있다는 것도 특징이다. 사실 APT 공격의 경우, 특정 정보를 빼내기 위한 목적으로 제조된 경우가 많다. 그래서 가치 있는 고객정보를 가진 기관이나 기업이 공격 대상이 될 가능성이 높다. 2013년 금융사와 방송사가 대상이 된 이유도 바로 가지고 있는 정보 때문이다.
APT 공격 기간은 평균 1년 정도이다. 길게는 5년 가까이 공격하는 경우도 있다. 그래서 APT의 공격을 당했는지 확인하기 어려운 경우도 많다. 마치 아프리카 초원의 사자가 먹잇감을 방심하는 순간에 공격하기 위해 기다리는 것과 비슷하다.
웹 기반 어플리케이션이나 SNS로도 가능
최근에는 웹을 기반으로 하는 어플리케이션을 이용하여 공격하거나, 소셜 네트워크서비스로 위장하여 e메일을 보낸 뒤 단축 인터넷 주소나 첨부파일을 열어 악성코드를 받도록 유인하는 형식의 APT 공격 사례가 증가하고 있다.
일부에서는 PC 화면보호기 확장자인 SCR(Screensaver)이 악성파일로 사용되는 사례도 있었다. 사실 대다수의 사용자에게 SCR 확장자는 생소하다. 화면보호기는 일정시간 동안 입력이 없으면 PC 모니터에 여러 화면을 나타내는 기능이 있는데, 공격자는 안티바이러스 탐지 우회와 사용자 클릭을 유도할 목적으로 SCR 확장자를 이요하는 것으로 나타났다. (관련링크)
APT 공격을 이용하는 해커는 이메일을 이용한 사회공학적 기법을 통해 특정 이름으로 회사 직원에게 악성코드가 첨부된 이메일을 보낸다. 즉, 믿을만한 지인이나 회사로 가장해 신뢰를 얻는다는 뜻이다. 직원은 그래서 아무런 의심없이 이메일을 받아 첨부파일을 열게 되고, 바로 이 시점이 악성코드가 최초로 염되는 발화점이 된다.
APT 공격, 어떻게 대응해야 할까
APT 공격에 대한 대응법을 두고 치열한 고민은 이어지고 있다. 현재 보안업계가 제시하고 있는 해법은 샌드박스, 행위기반 탐지 기술로 수렴되고 있다. 샌드박스 기법은 사용자 PC에 다운로드 되는 파일을 네트워크에 맞물린 가상화 장비 위에서 미리 실행해 보고 문제가 없을 때만 유입될 수 있도록 하는 기법이다.
행위기반 탐지의 경우, 각종파일이나 유입된 트래픽이 내부에서 접근이 허락되지 않은 시스템단에 접근하거나 레지스트리를 변경하는 것을 모니터링해 차단하는 것을 말한다. 즉, 실행 파일의 실행을 통해서 알려지지 않은 악성 코드를 탐지하는 것이다.
하지만 문제는 이 기술을 모두 활용한다고 해도 여전히 공격을 완벽하게 막을 수 있다고 장담할 수 없다는 점이다. 실제로 여전히 알려지지 않은 보안취약점을 악용하여 공격이 시도되고 있고, 공격이 성공하고 있기 때문이다.
그래서 APT 공격을 막기 위한 방법은 기존의 악성코드 공격을 막는 방법과 크게 다르지 않다. 처음부터 완벽하게 막는다는 욕심보다는 최대한 막는다는 현실적인 마음가짐을 가져야 한다. 시스템 방어막을 구축하고, 내부 보안 교육을 강화해서 스스로가 조심해야 한다.
개인 컴퓨터에 설치된 백신을 항상 최신 상태로 유지하도록 관리하고, 주기적인 바이러스 검사도 필요하다. 발신인이 불분명하거나 수상한 첨부파일은 실행하지 않고, SNS나 문자메시지로 날아온 단축 웹주소도 함부로 누르지 않는 것이 중요하다. 다소 불편하더라도, 보안을 유지하기 위해서 지켜야 할 최선의 방법이다.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.