[보안칼럼]APT방어 솔루션의 필수조건

지능형 지속위협(APT) 방어 솔루션에 대한 관심이 높다. APT는 문자 그대로 해커의 공격 방식이 매우 지능적(Advanced)이고, 끈질기게 지속적인(Persistent) 공격(Threat) 속성을 가진 데다 공격 빈도도 높아져 국내외 기업과 정부 등이 효과적 대응에 고심하고 있다.

국내외 보안기업도 이에 맞춰 방어 솔루션을 출시하고 있다. 이런 과정에서 기업이 저마다 시장 선점용 마케팅을 지나치게 강화하다 보니 우려 또한 크다. 과장한 영업자료나 특정 기능만을 부각시켜 APT에 대한 명확한 이해와 방어 솔루션의 변별력을 낮추고 있기 때문이다.

전 세계 보안 전문가 누구나 동의하는 부분은 APT가 특정 영역의 제한된 기술로만 풀 수 있는 문제가 아니라는 것이다. 오히려 제한적인 기술관점에서 제품을 선택하는 것이야말로 매우 위험한 선택이나 재앙이 될 수 있다.

요즘 시장에 나온 APT 대응 솔루션은 다양하지만 관심을 끄는 기술방식에 대한 쟁점을 하나만 소개한다. 악성코드가 유입될 수 있는 취약점(익스플로잇)이 발생하는 시점에 중점을 두면서 앞단에서 이를 감지하는 데 집중하는 쪽과 악성코드에 감염되거나 의심행위가 실행되는 시점을 감지해 대응하는 쪽이 있다. 전자는 PC 사용자가 특정 사이트에 접속하면 관련 사이트의 취약점을 감지해 이상 유무를 고객사 보안 담당자에게 전달하는 방식이다. 후자는 악성코드 감염 여부나 의심행위를 발견해 고객사에 전달하고 발생한 문제를 아예 차단하거나 삭제하는 방식이다.

장단점도 물론 명확하다. 전자는 취약점을 미리 찾아내려는 경우로 만약 완벽하다면 사전 조치에 대한 기대를 충족시킬 수 있다. 다만 아무리 자동화한다 해도 기하급수적으로 늘어나는 방대한 HTML, 자바스크립트, 파일 등에서 취약점을 모두 완벽하게 걸러내는 데 한계가 있을 수밖에 없다. 과도한 탐지로 업무 부담이 커질 수 있다. 또 APT 판단에 대한 명확한 근거를 확인하기도 쉽지 않다. 더불어 이 같은 방식은 APT를 감지하더라도 이미 고객이 접속하는 순간에 해당 PC는 감염된 상태일 수가 있어 추후 분석과 조치에 또 다른 문제가 생긴다.

후자는 악성코드 탐지 관점에서 접근한다. 흘러 들어오는 트래픽에서 검은 구역(Black Area) 즉, 악성코드라고 이미 알려진 신·변종 악성코드를 먼저 시그니처로 처리한다. 회색 구역(Gray Area) 즉, 명확하지 않은 영역의 의심되는 행위를 집중 분석해 악성 행위를 사전에 차단하거나 악성행위 시 이를 치료해 피해확산을 막는 방식이다.

자갈밭에 떨어진 볍씨(악성코드나 행위)를 찾기 위해 적당한 체(시그니처 처리)를 구해 크고 작은 자갈을 골라내고 비슷한 크기의 자갈무리에서 볍씨를 골라내는 것이다. 기존 안티바이러스 기술을 활용하기 때문에 매우 효율적이나 취약한 사이트에 대한 사전 정보나 C&C 서버 등 부가적인 분석 등이 부수적인 과제로 남는다.

하지만 시간을 두고 생각해보면 이런 논란들은 고객에게 큰 도움이 되지 않는다. 마치 병 진단에서 유전자 단계의 진단이 좋은지 단백질 단계의 진단이 좋은지와 관련한 논란과 유사하기 때문이다.

유전자 단계의 진단은 암이나 특정 질병의 발병 가능성이 몇 %로 높을 수 있는 가능성을 알 수 있고 단백질 단계의 진단은 병의 실제 발생 여부를 알 수 있어 즉각 조치가 가능하다. 즉, 어떤 단계의 진단이 더 좋은 게 아니라 진단을 이용하는 사람이 병에 얼마나 효과적으로 대응할 수 있는지가 관건이다. 내가 암에 걸릴 가능성이 높은지 알고 싶으면 유전자 검사를 받고 내가 현재 암에 걸렸는지는 단백질 단계의 진단을 받으면 될 것이다.

기업·정부 관점에선 어떤 기술, 어느 시점이 중요한 게 아니라 APT 대응을 얼마나 효과적으로 할 수 있는지가 관건이다. 이를 위해서는 APT 방어 솔루션은 다음과 같은 세 가지가 충족돼야 한다. 첫째, 분석 속도, 둘째, 분석 정보의 정확성, 셋째 분석 정보를 기반으로 한 기민한 대응이다. 이미 타깃이 된 PC가 악성코드에 감염돼 공격이 시작되면 APT 솔루션이 감지해도 이미 늦은 대처가 되므로 APT 방어 솔루션이 얼마나 신속하게 APT 공격을 분석해 내는지가 중요하다. 또 분석한 정보가 정확해야 한다. 정상 행위를 의심 행위로 감지하거나 분석정보가 모호하면 기업은 이를 검증하기 위한 불필요한 비용이 증가한다. 또 체계적이고 신속한 대응이 되지 않으면 아무리 정확하게 분석해도 의미가 없기 때문이다.

보안에는 기술도 중요하지만 태도도 그 못지않게 중요하다고 생각한다. 기술의 장단점을 비교하는 것은 나쁘지 않으나 우리 조직에 맞는 최적의 대안이 무엇인지 찾으려는 태도에서 먼저 출발한다면 보안을 강화할 수 있다.

강석균 안랩 국내사업총괄부문장 sukkyoon.kang@ahnlab.com