APT는 몰래 원격 접속이 가능하다. 최근에는 감염시킨 후 즉각 돈을 요구하는 랜섬웨어가 추가됐다. APT 공격을 탐지하고 가능한 빨리 서비스를 복구하는 능력이 기업 비즈니스 연속성에 중요한 판단 요소가 됐다.
 |
ⓒ게티이미지뱅크 |
<이미지를 클릭하시면 크게 보실 수 있습니다> |
장기간 탐지되지 않는(False Negative) APT는 기업에 심각한 악영향을 미친다. 글로벌 기업 삼성전자가 왜 갑자기 해킹 대회를 열었을까. 가트너는 2020년 기업이 공격 탐지와 적극 대응에 1130억달러(130조원 이상)를 지출할 것으로 예상했다.
비즈니스 연속성을 위해 APT 대응 지표가 필요하다. 평균탐지시간(MTTD)와 평균복구시간(MTTR)이다. APT로 인해 조직 정보기술(IT) 서비스 중단은 필연이 될 수 있다. 가능한 한 빨리 서비스 복구에 능숙해야 한다.
공격자는 방어 체계 무력화 기법을 마음껏 이용한다. 공격자는 APT 생성에 하루에 5만 가지의 각종 기법을 응용, 100만 가지까지 변종을 만든다. 수많은 APT 공격의 출현은 결국 탐지를 어렵게 하고 분석에 시간을 허비하게 한다. 국내는 정태·동태 분석으로 인한 인력에 의존하고 있어서 탐지 시간이 더 걸린다. MTTD 146일이다.
컴퓨터 백신 업체인 카스퍼스키랩은 APT 유통 경로로 웹(70%), 메시지·전자우편(30%) 등이 이용된다고 보고했다. 침해가능표식(IoC) 등을 활용, 타 업체보다 APT 탐지를 월등히 빨리 하는 기술이 있다. 시스템·네트워크 변수를 병렬로 분석한다. 오랜 기간 분석으로 인텔리전스가 뛰어나다. 미국 정부의 데이터를 분석하며 성장했다.
웹 기반 악성코드 경로로 드라이브바이다운로드(DBD) 방식이 자주 쓰인다. 공격자가 취약한 웹 서버에 APT 다운로드 경로를 만들고, 사용자가 접근하면 자동 감염시킨다. 웹 기반 경로가 많은 사용자를 감염시킨다. 가장 많을 뿐만 아니라 가장 먼저 발견된다.
웹 서버의 취약성으로 감염돼 악성 홈페이지가 되는 사이트는 많다. A, B, C 도메인이 있다. 각 도메인은 서로 신뢰할수록 감염 속도가 빠르다. 어떤 기업이든 협력 업체가 있고, 하나만 감염되면 다른 도메인 사용자를 감염시키고 공격도 할 수 있다. 악성코드에 하나의 시스템만 감염돼도 주위의 여러 도메인이 위험함을 보여 준다.
탐지 기술은 공격자가 웹에 APT를 주입된 상태를 실시간으로 감시하고, 주입된 APT 링크정보(URI) 정보를 보안 장비에 제공해 즉각 방어한다. MTTR 지표를 낮추는 확실한 방법이다. 이 기법도 장기간에 걸쳐 운영되고 있는 등 고객을 위한 인텔리전스가 독보 존재다.
알려진 APT 사고는 실제 발생 건수의 10% 이내다. 사고가 돌출되면 대표이사와 간부들은 기밀정보·개인정보 유출 문제 관련 책임을 져야 한다. 심지어 공격자에게 현금을 바치기도 한다. 비즈니스 연속성 문제와 시스템 보안성 재고 등을 고려하면 손실은 엄청나다.
APT 대응에서 MTTD/MTTR는 중요한 지표로 둬야 한다. 공격자가 누구인지, 어떤 행위를 하는지 감시하는 것보다 기업의 연속성과 가용성 확보가 더 중요하다. 북한, 중국에 의한 국제 사이버 전쟁터에서 궁금증은 더 이상 필요 없다.
해외에는 여러 APT 대응 기술을 공정하게 평가해 주는 조직이 있다. 보안 담당자는 당장 조직의 APT MTTD/MTTR를 낮추기 위해 이 정보가 중요하고, 업체는 지표에 도달하기 위해 기술을 부단히 개선해야 한다.
 |
임채호 빛스캔 연구소장. |
<이미지를 클릭하시면 크게 보실 수 있습니다> |
임채호 빛스캔 연구소장 skscogh@naver.com
[Copyright © 전자신문. 무단전재-재배포금지]
이 기사의 카테고리는 언론사의 분류를 따릅니다.
기사가 속한 카테고리는 언론사가 분류합니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.
