APT, 왜곡된 메시지가 너무 많다

출처 : 네트워크 타임즈 2013.04 호

- 3.20 방송사/금융사 전산망 마비 사고는 악성코드를 이용한 지능형 지속 위협(APT) 으르 분석

- 한가지 종류의 악성 코드로 국내 대표적인 방송사 3곳, 대표적인 은행 2곳의 전산망이 동시에 마비되고, 

   3만 2000대의 서버와 PC가 파괴되는 피해를 입었다.

1. 공격방식이 일정하지 않은 APT

- APT 의 대표적인 공격은 2011년 세계적인 보안 인증 솔루션 EMC RSA 시큐어ID가 해킹을 당해 OTP

   기밀정보가 유출된 사건

- 이 사건은 이메일을 이용한 스피어 피싱을 통해 당한 것

- 아트 코비엘로 RSA 회장이 사건의 내용을 발표하면서 'APT' 용어를 처음 사용

- 우리나라에서의 APT 공격 사례

- 2011년 SK커뮤니케이션즈의 고객정보 유출사고는 직원이 공개용 알집을 사용해 여기에 숨겨있던

   악성코드를 통해 대량의 정보가 빠져나감

- 2012년 12월, 한글과 컴퓨터의 업데이트 서버가 해킹당해 아래아한글 사용자들이 업데이트를 수행

   할 때 자동으로 악성코드가 설치되도록 한 사건

- 카스퍼스키랩이 2013년 1월 발견한 사이버 스파이 'Red October(Rocra, 로크라)' 는 무려 5년 이상 활동

- 동유럽국가, 구 소련 및 중앙아시아 국가의 정부/외교 및 과학 연구 기관을 타깃으로 활동

- 로크라는 주요 기관의 지정학적 정보, 기밀 정보 시스템에 접속할 수 있는 계정 정보와 개인 모바일

   기기와 네트워크 장비 정보 등의 내부 자료를 수집

2. 초보적인 수준의 해킹 툴로도 APT 공격 성공

- APT를 막기 위해 반드시 전용 솔루션이 있어야 하는 것은 아니다

- APT는 예상치 못했던 취약점을 찾아내 매우 초보적인 수준의 공격으로도 성공할 수 있기 때문에 보안 

   시스템의 기본이 반드시 필요

- 기존 보안 시스템의 틈새를 파고드는 APT 공격은 알려지지 않은 악성코드를 이용

- 공격이 발생한 후 이를 발견하고 조치를 취할 때까지 걸리는 시간동안 집중적으로 공격을 진행하는

   제로데이 공격이 주를 이루고 있다.

- 관리되지 않은 시스템의 취약점을 찾아내 교모하게 침투해 소기의 목표를 달성

- 보안의 패러다임이 빠르게 변화하고 있다. 시그니처 방식이냐 비시그니처 방식이냐를 따질 것이 아니라

   실시간으로, 모든 영역에서 보안위협이 발생하는지 지켜봐야 한다. 

- 모든 APT 공격이 전문가 수준의 높은 공격을 갖추지는 않았으며, 인터넷을 통해 누구나 쉽게 얻을 수 있

   는 해킹툴을 이용하는 경우도 많다.

3. 중소기업/개인 겨냥 공격 꾸준히 늘어

- 중소기업이나 개인을 겨냥한 APT도 심각한 문제

- 이들을 공격해 협력관계에 있는 대기업, 공공기관으로 옮겨가면서 원하는 목표를 달성

- IT 전담인력이 부족한 기업과 개인을 노리는 경향이 두드러이지게 이루어짐

- 최근 발표되는 APT가 알려지지 않은 악성코드를 이용하는 경향을 많이 보이기 때문에 악성코드

   방지에 관심이 집중

- 악성코드는 사용자 몰래 PC를 원격 조종하는 '트로이목마'가 가장 많다

- 3월 11일부터 17일까지 국내에 유포된 62종의 악성코드 중 50건이 트로이목마인 것으로 확인.

   여기에는 공격자가 직접 조정할 수 있는 원격 통제 도구인 'RAT(Remote Administration Tool)' 도 포함

- 피해를 막기 위해서는 악성코드 감염을 전파하는 사이트에 대한 접속 차단이 가장 먼저 필요

- PC와 웹 구간에서 악성코드를 탐지하는 것으로 웹 보안 취약성을 어느 정도 해결할 수 있다.

4. 사회공학 기법 이용한 이메일 악성코드 유포 성행

- 최근 APT 공격 유형의 상당부분을 차지하는 것이 이메일을 이용한 공격

- 이메일 공격 단계

1) 첫번째 공격 관문을 뚫을 사람을 선택

- 구글링이나 SNS를 통해 이름과 이메일 정보, 대상의 취미 혹은 취향, 가족관계 등을 알아낸 후

   공격대상에게 맞춤형 정보를 담은 이메일을 보낸다

2) 이메일을 받은 사람이 메일을 열어 첨부파일을 다운로드 받거나 URL을 클릭하면 악성코드가 그 

   사람의 단말기에 숨어들어가 백도어를 만든다

3) 적당한 시기가 되면 네트워크로 침투

4) 목표로 삼은 고객정보 DB 에 접근

- 특정 목적을 갖고 설계된 것이기 때문에 패턴분석이 안되고, 외부 C&C 서버와 자주 통신을 하는 것이

   아니기 때문에 행위기반 분석으로도 탐지가 안될 수 있다.

- 모바일 악성코드도 매우 취약한 보안위협

- 다양한 모바일 디바이스가 기업 시스템에 접속하는데, 개인이 소유한 단말기는 보안정책을 강력하게

   적용할 수 없기 때문에 각종 악성코드에 감염된 단말기가 시스템에 접속했을 때 제어할 수 있는 방법이

   요구

- 다양한 APT 공격 사례

1) USB 등 이동식 저장장치에 악성코드를 심어 1차 목표로 삼은 사람이 USB를 사용하게 하거나

2) 각종 패치 업데이트 프로그램에 몰래 심어 실행되도록 하는 경우

3) P2P 사이트의 동영상 파일에 악성코드를 숨기는 경우

4) 보안이 취약한 웹사이트에 악성코드를 숨겨 방문자 PC를 감염시키거나

5) 웹서버가 악성코드를 직접 배포하는 경우

5. 샌드박스로 알려지지 않은 악성코드 탐지

- 악성코드를 탐지하는 전통적인 방법은 기존에 정리된 시그니처와 비교해보는 것

- 시그니처 방식은 이전에 공격과 피해가 발생한 적이 있어야 하기 때문에 최초로 시행되는 악성코드는

   탐지할 수 없다.

- 비시그니처 방식의 악성코드 탐지기법

1) 샌드박스

- 악성코드로 의심되는 파일을 격리된 가상화 영역에서 실험해 본 후 어떠한 공격이 일어나는지

   확인하고, 공격이 일어나면 상세분석을 시작하고, 공격이 일어나지 않으면 허용하는 방식

- APT 공격에 이용되는 악성코드는 실행 즉시 행동을 시작하는 것이 아니기 때문에 악성코드가

   아니라고 분류될 가능성이 있다.

2) 기계학습 기법

- 트래픽의 행위를 자동으로 학습

3) 행위기반 분석기법

- 트래픽의 흐름을 분석해 이상행위를 찾아냄

4) 평판분석기법

- 기존 소프트웨어 평판을 기준으로 분석

5) 콘텐츠 인지 제어

- 트래픽이 갖고 있는 데이터의 콘텐츠를 인지해 정보가 불법적으로 이동하는지 찾는 방법

6) 상황인지 기법

- 트래픽이 일어나는 상황을 종합적으로 분석해 정상행위 중 이상행위일 수 있는 해위를 찾아

   내는 방법

6. APT 공격에 사용되는 악성코드의 특징

1) 실행파일이 풀리면 누군가와 통신을 시작한다. 공격자의 명령을 받기 위해 악성코드가 실행됐다

    는 사실을 알리려는 것

- 샌드박스 기법이 이를 이용한 것으로, 악성코드로 의심되는 파일을 가상머신에서 실행시킨 후

   외부와의 통신을 하는지 살펴본다

2) 사내 시스템에 C&C 서버 역할을 하는 악성코드를 두는 방식을 채택한다.

- 행위기반 분석기술이 고도화되면서 악성코드도 진화해 외부가 아닌 내부와 통신을 하면서

   자신의 목적을 숨긴다.

- 사람의 트래픽으로 보기 어려울 만큼 사내 특정 시스템과 빠르게 통신을 주고받는다거나 전혀

   상관없는 부서 시스템과의 통신이 자주 발생하게 된다면 이상행위로 의심

7. APT 대응 방법

- 모든 IT 분야에 심층적인 방어전략을 수립

- 전통적인 네트워크 보안부터 시작해서 PC단의 바이러스 백신까지 전반적인 보안 환경을 가장

   먼저 정비해야 함

- 알려지지 않은 악성코드를 탐지할 수 있는 방법과 알려지지 않은 공격을 탐지할 수 있는 새로운 기술

   을 적용

- 임직원의 교육을 통해 사람의 심리를 교묘하게 이용하는 고격에 대비

- 시스템 외부로 중요정보가 유출되지 않도록 정비

- 직원들의 디지털 기가가 사용자 모르게 시스템에 접근해 의도치 않은 보안홀이 되지 않도록

   관리되지 않은 기기의 제어 정책 마련

- 가장 중요한 것은 사람이다. 직원들이 무심코 열어보는 확인되지 않은 이메일, 습관적으로

   방문하는 웹사이트, 메신저를 이용한 파일 전소 등 보안 취약점에 노출되지 않도록 임직원의

   변화관리가 무엇보다 먼저 진해돼야 함