[전문가 기고]기업이 APT 공격 피해를 줄이려면

글자 작게 글자 크게 인쇄하기

기업 대상 표적 공격은 기업 인프라를 침입하는 경로·목표·기술의 정교함 측면에서 다양하다. 그러나 이를 탐지하기는 어렵다. 공격 탐지에 성공하더라도 복구·대응이 어렵다는 점은 더 큰 문제다. 탐지 시간이 오래 걸릴수록 복구·대응은 더 어렵다. 효과 높은 복구·대응 방법 두 가지 주요 요소로는 기술과 인텔리전스가 있다.

[전문가 기고]기업이 APT 공격 피해를 줄이려면

대체로 보안 인텔리전스는 기업이 공격받는 경로를 미리 파악하는 것을 뜻한다. 보안 전문 분야에서 중요한 부분이다. 한 예로 기업이 공격 예방 기술에 자원을 80% 투입하면 이미 발생하는 보안 침해 처리에 문제가 생길 수 있다. 사이버 범죄자는 능숙하게 흔적을 감춘다. 기업이 공격당한 사실을 발견해도 손상된 컴퓨터 수, 삭제된 로그, 파기된 침해 증거를 전혀 파악할 수 없다. 공격 피해 복구에 성공해도 기업 인프라의 취약점이 확인되지 않으면 사실상 여전히 위험에 노출된다.

적절한 보안 인텔리전스에는 기업 대상의 잠재된 사이버 범죄 위협과 실제 발생한 공격 사례뿐만 아니라 지능형지속위협(APT) 공격 데이터를 수집하기 위한 정보·방법론이 결합돼야 한다. 이 결합은 사내 작업·전문 보안업체와의 협업으로 개발된 전문 지식·도구로 구현된다.

작은 기업이라 해도 생산되는 데이터 규모는 크다. 테라바이트(TB) 규모의 데이터가 오가고 이메일 커뮤니케이션, 인스턴트 메시지, 소셜 네트워크, 클라우드 서비스로 하루 수백만 건의 연결이 이뤄진다. 한 번의 공격은 극히 일부 연결에만 영향을 미칠지 모르지만 일부 데이터라 하더라도 외부로 유출되면 문제가 발생한다. 기업 네트워크를 침입하는 방법은 수백만 가지에 이른다. 공격 발생 기회를 줄이는 것을 최우선으로 삼아야 한다.

APT 방어 솔루션을 개발하기 위해서는 검증된 악성 코드 차단 기술이 필요하다. 새로운 고급 통계 분석 방법, 기계 학습 기술을 통합하는 것이 중요하다. 어떤 보안 전문가도 모든 상황을 완벽하게 제어할 수는 없기 때문에 컴퓨터 기술이 필요하다. 기술을 이용해 모든 데이터 전송을 제어하고, 불일치와 관련된 워크플로를 분석한다. 다양한 증거를 결합해서 경고 이벤트를 생성해야 한다.

예를 들어 직원 PC가 어느 외국의 알 수 없는 서버에 연결됐다면 의심이 든다. 오진일 수도 있다. 그러나 아무도 없는 오전 3시에 사무실에서 연결이 이뤄졌다면 어떻겠는가. 이전에 확인되지 않은 실행 파일을 내려 받은 이력까지 있다. 그렇다면 보안팀에 연락해야 한다.

표적 공격을 막고자 노력하는 기업은 어려운 현실과 마주한다. 알려지지 않은 변수도 많고, 라우터·휴대전화 등 수많은 기기를 통한 공격도 존재한다. 최신 보안 상태를 유지하기 위한 유일한 방법이란 없다. 막대한 데이터를 수집하고, 그 지식을 활용해서 끊임없이 진화하고 있는 보안 위협의 동향을 파악해야 한다. 이후 문제를 최대한 신속하게 탐지·처리하는 것이 최선이다.

정교해진 표적 공격으로부터 기업을 보호하려면 방대한 양의 업계 전문 지식과 그에 걸맞은 기술력을 갖춰야 한다. 자동 탐지 시스템이 표적 공격을 발견할 때 기업을 보호하기 위해서는 전문가의 지식이 필요하다. 동시에 전문가가 유효적절하게 대처하려면 공격 대처 기술이 단계별로 문서화돼 있어야 한다. 타깃 공격은 발견이 늦을수록 손실 규모가 급격히 늘어난다. 기업은 지금 곧바로 조치를 취하고, 전문 지식과 고급 기술을 결합한 최고의 보호 대책을 갖춰야 한다.

이창훈 카스퍼스키랩코리아 대표 changhoon.lee@kaspersky.com