[보안칼럼]무기화된 APT공격, 군사시설도 공격하는데 개인쯤이야

러시아가 우크라이나를 침공하기 이전 중국 해커가 우크라이나 주요 시설·기관 등 총 600곳을 대상으로 사이버공격을 단행했다. 디지털화가 가속화하는 과정에서 사이버공격은 더욱 심화되고 넓어질 전망이다. 디지털화가 진행될수록 디지털화된 시스템을 사이버공격으로 무력화·교란시킨 이후 기선을 잡으려는 것은 어쩌면 당연하다. 그런데 안타깝게도 아직도 많은 조직이 사이버보안 투자를 돈 낭비라고 생각하는 경향이 있다. 사이버공격은 엄청난 피해를 초래하는데도 말이다.

사이버보안 관점에서 APT는 아파트가 아니다. 지능형 지속 공격(Advanced Persistent Threat)을 의미하는 약자다. 다양한 보안 위협을 만들어서 특정 조직, 특정 기업의 네트워크에 지속적 및 지능적으로 가하는 공격이다. 특정 조직의 내부 임직원 컴퓨터를 공략하고, 그 컴퓨터를 통해 내부 서버 또는 데이터베이스에 접근해서 주요 정보 등을 빼내거나 아예 물리적으로 파괴까지 할 수 있다.

서버나 네트워크, 우리가 매일 사용하는 데스크톱이나 노트북 같은 엔드포인트(Endpoint)가 취약한 것도 있지만 결국 보안에서 가장 취약한 것은 이러한 시스템을 이용하는 '사람'이다. 사람 마음을 악용하는 게 중요한 툴이 되는데 그게 바로 '소셜 엔지니어링'이다.

누군가가 사무실 책상 위에서 유명 브랜드의 예쁘장한 USB를 발견했다고 치자. 마침 멋진 USB가 필요했던 차인데 잘됐다고 생각하고 무심코 노트북이나 데스크톱 컴퓨터에 꽂는 순간 그대로 악성코드에 감염된다. 이것이 소셜 엔지니어링 기법의 사례다.

소셜 엔지니어링은 사람의 심리적 약점을 악용해 개인의 정보를 얻거나 혹은 두텁게 보호받고 있는 시스템을 뚫는 데 사람의 마음을 이용하는 기법이다. 주인이 없어 보이는 USB를 그대로 사용하고 싶다는 사람 심리를 이용한다.

다양한 사이버보안 장비와 프로그램을 통해 보호해도 사람을 통해 악성 웨어가 시스템을 장악할 수 있다는 좋은 예다.

시스템으로 침투한 악성웨어가 끼치는 지능형 지속적 공격의 폐해는 엄청나다. 스턱스넷(Stuxnet) 바이러스는 지능형 지속공격(APT)의 전형이다. 구체적 타깃을 갖고 있고 물리적 인프라를 파괴할 능력까지 갖추고 있었다. 감염을 위해 인터넷이 필요하지 않았다. 소셜 엔지니어링을 이용해 USB를 통해 시스템을 장악한 후 이란핵시설에서 원심분리기 1000여대를 마비시켰다. 세계적으로 지능형 지속공격은 지속 증가하고 있다.

지능형 지속공격이 왜 다른 사이버 공격보다 더 위험하고 폭증하는지 살펴보자. 보통 웹 애플리케이션보다 더 복잡하게 설계돼 있고, 한 번 공격하고 종료하는 게 아니라 네트워크가 뚫리면 계속 시스템에 머물면서 최대한 필요한 정보를 빼 간다. 또 전체 시스템을 노리는 경우가 대부분이다. 주요 국가 시설이나 군사시설물이 타깃이 되기도 하지만 개인에게도 당연히 큰 피해를 주고 있다. 이러한 지능형 지속공격이 노리는 것은 지식재산권, 개인식별정보, 기밀데이터, 인프라데이터, 시스템접근권, 기밀을 요하는 내부 커뮤니케이션 등이다. 이에 대한 대비가 매우 중요하며, 앞으로도 사이버보안의 핵심 포인트가 될 것으로 예상된다.

그렇다면 치명적 지능형 지속공격을 예방하는 방법은 무엇일까. 지능형 지속공격에 특화된 보안 프로그램과 장비를 갖추는 것은 최소한의 방책이다. 이와 함께 철저한 트래픽 모니터링이 필요하다. 철저한 트래픽 모니터링을 통해 백도어 셋업을 미연에 방지할 수 있으며, 도난당한 데이터의 추출을 막을 수 있고, 의심이 가는 유저를 파악할 수 있기 때문이다.

화이트리스트는 네트워크에서 액세스할 수 있는 도메인과 애플리케이션을 제어하는 방법이다. 화이트리스트는 공격 표면의 수를 최소화해서 APT 성공률을 낮춘다. 화이트리스트가 제대로 작동하려면 팀에서 서용하는 도메인과 애플리케이션을 신중히 선택해야 하고, 모든 응용 프로그램의 최신 버전을 실행하고 있는지 확인할 필요가 있다.

제로 트러스트 보안정책 또한 중요하다. 각 계정의 액세스 수준을 제한해서 사용자가 작업을 수행하는 데 필요한 리소스에만 액세스 권한을 부여하는 것이다. 이중 인증(2FA)과 보안 패치의 최신 상태 유지도 큰 도움이 된다.

아무리 좋은 보안 시스템을 구축해도 결국 직원에 대한 지속적인 보안 교육이 중요하다. 소셜 엔지니어링 교육을 하고 이메일 필터링을 적극 활용하면 지능형 지속 공격에 의한 피해를 최소화할 수 있다.

한승철 엔피코어 대표 hansc@npcore.com