Embed Size (px)
Citation preview
Sponsored bySponsored by
무단전재재배포금지본 PDF 문서는 IDG Korea의 프리미엄 회원에게 제공하는 문서로, 저작권법의 보호를 받습니다.
IDG Korea의 허락 없이 PDF 문서를 온라인 사이트 등에 무단 게재, 전재하거나 유포할 수 없습니다.
은 하고 끈질긴 위협
APT의 이해Advanced Persistent Threat
I D G T e c h R e p o r t
공격 수단처럼 정의마저 다양한 APT
네 가지 특징…지능적, 지속적, 특정 타깃, 특정 목적
APT에 대한 기업들의 대처 현황
보안 업계가 말하는 APT 대응 실천 전략
은 하고 끈질긴 위협
APT의 이해Advanced Persistent Threat
최근 기업 보안에서 많이 언급되는 APT는
정의에 대한 의견이 분분하지만, 대체로
특정 대상에 대해 치 하게 조사하고, 사전에
면 히 계획에 의해 기존 방어 메커니즘을 피해
지속적으로 공격하는 것을 의미한다.
APT(Advanced Persistent Threat)를
지능화된(Advanced)이라고 하는 이유는
가능한 모든 도구를 사용해 치 하게 계획,
실행, 조정하기 때문이다. 또한
지속적(Persistent)이라고 하는 이유는
침입자가 탐지를 피해 끈질기게
공격하기 때문이다.
I D G T e c h R e p o r t
2011년은 그간 유례를 찾아볼 수
없을 정도의 사이버 보안 사
고들이 줄을 이었다. 지난 11
월 28일, 넥슨은 자사가 운 하는 온라인 게임 메이
플스토리 백업 서버가 해킹당해 최대 1,322만 명의
이름과아이디, 주민등록번호, 비 번호등이유출당
한 것으로 알려졌으며, 해킹 시점은 18일로 조사됐
다고밝혔다.
넥슨측은자체조사결과, 메이플스토리백업서버
해킹에는백도어를생성하는악성코드두가지가사
용된것으로나타났다. 해당악성코드가백도어를생
성하고그취약점을공격한해커가백업서버까지접
근, 개인정보를유출시켰다는분석이다. 넥슨신용석
CSO는 기자간담회에서“지금까지 우리는 수많은
APT 공격을받아왔고이를방어해왔지만이번공격
을막지못해매우송구스럽다”고말했다.
신용석CSO의발언에는많은의미가함축되어있
었다. 그간 수많은공격이특정기업을대상으로 지
속적으로계속되어왔다는것과아무리두터운방패
도결국뚫리게되며, 공격한다는 것을알고도막지
못하는상황이발생한다는것이다.
최근 고객 정보 유출 사건들의 행태를 보면, 공격
자는이미몇개월전부터시스템내부에침입해관
리자가 눈치채지 못하게 조금씩 데이터를 뽑아냈다
는것이공통된특징이다. 또한그침입방법들을살
펴보면 한두 가지 기술을 사용한 것이 아니라 특정
타깃의보안취약점이발견될때까지다양한공격기
술을 사용한 것으로 파악됐다. 그래서 다양한 보안
사고유형으로나타나고 있지만, 이는 모두특정 타
깃을대상으로특정목적을갖고저지르는지속적인
사이버공격, 즉APT로파악된다. 이제사이버공격
은 공격 기술로 구분하는 것이 아니라 공격 목적에
따라분류해야하는시대가온것이다. 그첫단계가
바로 APT다. 요즘 보안 업체들은 하나같이 APT를
조심하라고외친다. 대체무엇일까? APT란놈이. 그
리고어떻게막아야할까?
실체없음에서차세대사이버공격까지정의마저다양
ATP(Advanced Persistent Threat, 지능형 타깃
지속 공격)의 정의에 대해 전문가들마다 제 각각의
답변을제시한다.
어떤이들은APT라는용어가지속적인사이버공
격과첩보전에직면하고있는미국방부와관련업체
들이처음쓰기시작했다고주장했다. 넷위트니스의
최고 보안 책임자인 에디 슈왈츠는“공군에서 처음
쓰기시작했을것”이라며, “맬웨어또는소셜엔지니
어링등국가의중대한경제적이익에반해사용되는
다양한기술과이런기술을사용하는적의지속적인
존재를의미한다”고설명했다.
보안업계는구 이약 1년전에중국에서비롯된
네트워크기반의지적재산도난공격에당했음을밝
힌 이후 APT라는 용어를 자주 언급하기 시작했다.
1IDG Korea
APT의 이해편집부 | ITWorld
그러나 IT 보안 업체들이 저마다 APT라는 용어 개
념을 제시하면서 각 업체마다 다른 의미의 APT를
주장했다.
HB개리 CEO인그렉호 런드는“APT의의미는
누구에게묻느냐에따라다르다”며, 미 공군과국방
부의경우‘중국정부의후원을받는위협’이라는노
골적인표현대신우회적으로이용어를사용하는데,
아닌척하지만뻔하다”고말했다.
호 런드의 관점에서 APT는 공격 목표 조직에서
기술에 수백만 달러를 투자한 네트워크에 존재하는
단순한약점을이용하는맬웨어를표현하는또다른
용어에 불과하다. 호 런드는 위협은 일반적으로
‘지능적’이지 않기 때문에 APT라는 용어는 무의미
한표현이라고. 대체로공격은알려진취약점을대상
으로틀에박힌형태로이뤄지므로패치만부지런히
잘해도막을수있다는것이다. 호 런드는“러시아
의크라임웨어가훨씬더지능적”이라고전했다. 호
런드는“APT는 20년동안지속된중국정부가후
원하는첩보활동”이라며, “그냥중국의 로벌확장
과 관계되는 모든 것이라고 생각하면 된다”고 일축
했다.
보안 업체, APT 용어 광범위하게 사용
다른보안전문가들도각기저마다의APT를내세
웠다.
시만텍의 제품 관리 담당 디렉터인 게리 이건은
“APT라는용어는구 에대한공격이후부쩍사용
빈도가 늘었다”고 말했다. 이건이 생각하는 APT는
데이터, 특히지적재산을훔치기위해한조직을대
상으로이뤄지는공격을의미한다. 시끌벅적한공격
이아니라은 한공격이며, 1회성 이벤트가아니라
지속적으로, 장기간동안 이뤄진다. 그러나 이건은
APT가 굳이 정부 후원에 의한 활동을 의미하지는
않는다는 의견이다. 어느 조직이든 이런 행위를 할
수있기때문이다.
맥아피도APT라는용어를도입한보안업체가운
데하나다. 그러나맥아피가최근발표한‘2011 위협
예측’보고서에나온정의에따르면, APT는상당히
넓은 범위를 포괄한다. 보고서는“고도로 복합적이
고치 하게실행되는대상화된모든공격이APT는
아니듯이, 모든 APT가 고도로 지능적이고 정교한
것은 아니”라며, “APT 공격과 사이버 범죄 또는 핵
티비스트(해킹을 사회 저항의 수단으로 삼는 무리)
공격을구분하는가장큰요소는정교함또는파급력
의정도가아니라공격자의동기”라고주장했다.
맥아피는 APT 개념을“순수한 금융/범죄적 이유
나정치적저항외의다른목적으로국가정부의후
원또는지시하에수행되는사이버첩보활동또는
사이버사보타주공격”이라고정의했다. 또한“국가
보안또는중요한 로벌경제활동에연루되는모든
기업은 아카이브, 문서 저장소, 지적재산 보관소 및
기타 데이터베이스를 뒤쫓는 침투적이고 지속적인
APT 공격의대상이될수있음을인식해야한다”고
주장했다.
맥아피 연구소 보안 전략가인 토랄브 디로는
“APT 공격이라함은공격의배후그룹이국가정부
의후원또는지시를받고, 이에따라일반적인사이
버범죄와는전혀다른, 특정목적을갖고임하는사
이버공격”이라고말했다.
2IDG Korea
I D G T e c h R e p o r t
APT인 것은데이터, 특히 지적재산권을 절취하기 위해 주기적이고 장기간 이뤄지는 은 한 공격국가의 후원을 받는 공격. 하지만 이는 모든 보안전문가가 동의하는 것은 아니다. 경제적인 이익이나 정치적인 목적으로 정보를 훔치려는 누구나 이런 공격을 할 수 있기 때문이다.
APT가 아닌 것모든 APT가 선진화된 것은 아니다. 많은 APT 네트워크 칩입은 기업의 단순한 실수를 악용해 이뤄진다.정치적 활동가 단체의 핵티비스트 공격이 아니다제우스(ZeuS)같은 크라임웨어를 사용하지만 금전적 이익이 가장 큰 목적은 아니다.
APT의 정의
디로는“APT의동기는군사적, 정치적또는경제
적 우위를 위한 정보를 수집하는 것”이라고 정의했
다. 그는 최근에는회사내에서점차확산되고 있는
소셜네트워킹사이트를스피어피싱(특정대상에집
중된 피싱)을 위한 데이터 수집 수단뿐만 아니라 의
도한대상에맬웨어를배포하기위한매개체로도사
용하는추세라고설명했다.
디로는최근정부소속의공격대상자들에게제우
스버전을다운로드하도록유도한가짜백악관이메
일 크리스마스 카드 사건을 APT 사례로 꼽으면서
“제우스는 범죄자들이 은행 정보를 훔치기 위해 흔
히사용한다. 그런데이버전은문서를훔치기위한
다른프로그램을다운로드했다”고전했다. 또한“데
이터손실방지, 네트워크및사용자행동분석, 애플
리케이션제어와같은기술이더욱성숙화되면서네
트워크를 안전하게 보호하는 데 도움이 되고 있다”
고덧붙 다.
반면, 이아이 디지털 시큐리티 CTO 마크 마이프
렛은“APT라는용어를사용할생각이없으며, 용어
가 아니라 내가 전하고자 하는 말을 하려고 노력한
다”며, “APT는제멋대로인마케팅부서들사이에서
더욱인기를끌고있다. 이제 APT를새로운두려움
의대상으로만드는것”이라고지적했다.
네가지특징…지능적, 지속적, 특정 타깃, 특정 목적
안철수연구소는APT의가장큰특징은오랜시간
을들여집요하게공격대상의취약점을찾아내거나
공격루트를찾아내는것으로, 기존과같이단일 공
격방법으로해석해서는안된다고전했다.
블루코트보안보고서에서APT는기술, 프로세스
및사용자교육을통한방어메커니즘을피할수있
도록치 하게조사하고사전에면 히계획된공격
이라고정의했다. 일반 악성코드공격과달리, APT
는특정조직이나그룹을대상으로하는특화된공격
이며, 일반적인악성코드, 피싱, 해킹, 스파이웨어및
기타 도구를 종합적으로 폭넓게 사용해 조직적으로
진행된다고설명했다.
또한 이 보고서는 APT는 새로운 종류의 위협이
아니며그기원은 1990년대까지거슬러올라가지만
지난몇년동안특히크게증가했다고. 특히 전에는
주로 정부 기관, 계약자 공급업체를 대상으로 했지
만, 민간 부문에도 급속도로 퍼져 액슨모빌, BP
(British Petroleum), RSA, 하트랜드페이먼트시스
템즈, TJX, 소니, 구 등에도공격을가했다.
블루코트는“APT가 신종 악성코드, 취약성 또는
기타 기술로 오해되는 경우가 많다”며, “이는 단순
히프로그래밍스타일, 취약점공격기술또는위협
은폐 메커니즘과 같이 한 가지 위협이나 사건이 아
니라‘지능화된지속적인공격자’를나타낸다”고주
장했다.
실제로 APT는 특정 조직 또는 조직 그룹을 대상
으로명확한목표를달성하기위한확장된공격이다.
APT는목적달성을위해일반적인악성코드에서복
잡한제로데이공격전술에이르는광범위한도구를
사용할수있다.
APT를 지능화된(Advanced)이라고 하는 이유는
가능한모든도구를사용해치 하게계획, 실행, 조
정하기때문이다. 또한지속적(Persistent)이라고하
는이유는침입자가탐지를피해끈질기게공격하기
때문이다. 타깃조직에서 APT를발견하면, APT 악
성코드네트워크전체는여러달에걸친조사와계획
이수포로돌아감으로써큰타격을받을수있다. 반
면일반악성코드공격은대규모로이뤄지기때문에
개인이눈치를챈다고해도공격의효과가거의약화
되지않는다.
APT ‘당해보면 안다’, 소잃고 외양간?
혹시보안업체들이자사의프로그램으로막을수
있도록조작된공격을비 리에, 고의적으로일으키
는것이아닌가?
물론 그렇지는 않다. 그러나 케케묵은 이 질문은
현재의보안상황이보안업체들이말하는것처럼정
말나쁜지, 그 여부에대한광범위한 의심을시사했
다. 특히 APT의등장으로인해이런의심이더더욱
증폭된다.
ESG는 APT의위협이어느만큼현실적인지확인
3IDG Korea
I D G T e c h R e p o r t
하기위해미국소재대규모조직에소속된244명의
보안 전문가를 대상으로 설문 조사를 실시했다.
ESG 수석 애널리스트 존 올트식은“이 프로젝트를
시작했을 때 이 공격이 고유한 형태로 존재하는지,
아니면진부한사이버공격에새로운경보딱지를붙
이기위한마케팅용어에불과한지를두고많은논
란이있었다”고말했다.
올트식은“전문가들의 의견은 엇갈렸다. 50% 정
도는APT를스턱스넷, 오로라, 제우스등과같은고
유한형태의위협으로 보며, 48%는 어느정도는고
유하지만 다른 위협과 비슷한 것으로, 2%는 고유한
위협이아니라고봤다”고전했다.
APT에대해많이알수록고유한것으로인식하는
경향이 나타났다. 올트식에 따르면 대부분의 CISO
는 실제로 공격을 당하기 전까지는 APT를 전혀 새
로운 것으로 생각하지 않았다. 그러나 APT 공격을
목격하면, 이공격이상황에따라적응하면서네트워
크를탐색하고, 스스로시스템에잠입하고, 정교한-
많은경우공격자가직접제작한- 혁신적기술을사
용해보안도구를속이면서은 함을유지하는모습
에깜짝놀라게된다는것이다.
실제 공격률은 놀라울 정도다. 설문 대상의 약
20%는자신소속된회사가공격목표가되었음을확
신한다고 답했으며, 39%도 아마 공격 목표가 됐을
것이라고 답했다. 후자는 은 함과 끈기가 APT 공
격의 특성임을 나타낸다. 최초 APT 공격으로 추정
되는구 을상대로한오로라작전은9개월동안지
속됐다.
요점은 이것이다. APT에 대해 잘 알수록 APT를
두려워한다는것이다. APT를걱정하지않는기업이
있다면, 지금부터걱정해야할지도모른다.
APT에 대한 기업들의 대처 현황
이를 대처하기 위해 기업들은 무엇을 하고 있을
까? 설문에응답한대규모조직의약 50%가분기마
다한번이상의공식적인침투테스트를 수행한다.
현재공격에대한최신정보를얻기위해 68%는네
트워크 관리 도구, 51%는 로그 파일 분석, 43%는
IDS/IPS 경고, 41%는SIEM 도구를활용하고있다.
특히 40%의 조직이 APT로 인해 새로운 정보 보
안 기술에 투자했다고 답했다. APT에 대한 준비가
잘 된 응답자 가운데 90%는 APT에 대처하기 위해
새로운또는수정된보안프로세스를구현했다고답
했으며, 60%는새로운방어기술에투자했다고답했
다. 교육역시핵심적이다. 준비된조직의 56%는보
안 직원을 위한 APT 교육을 추가했다고 답했으며,
절반이상이일반직원을대상으로도교육을실시한
다고밝혔다.
흥미를끄는부분은민감한데이터를보호하기위
해 기업에서 실시하는 투자의 유형이다. 예를 들면
다음과같다.
APT로 인해 새로운 도구를 구매한 조직의 54%는 데이
터 암호화 기술에 투자함
APT로 인해 새로운 도구를 구매한 조직의 43%는 데이
터베이스 보안 기술에 투자함
APT로 인해 새로운 도구를 구매한 조직의 35%는 DLP
에 투자함
APT로 인해 새로운 도구를 구매한 조직의 31%는 새로
운 유형의 사용자 인증 또는 접근 제어에 투자함
4IDG Korea
I D G T e c h R e p o r t
그림 1. APT에 사용되는공격방법들
자료 : 블루코트
APT 공격의 궁극적인 목적은 데이터 탈취이므로
데이터 보안 제어를 강화하는 것은 타당한 조치다.
그외에살펴볼부분은다음과같다.
첫번째, 이전부터가파르게증가할것으로예상되
어오던데이터암호화가현실화됐다. 앞으로는네트
워크, 스토리지, 파일시스템, 데이터베이스, 그리고
애플리케이션 계층에서 데이터 암호화가 증가할 것
이다. 이런모든암호화및이와연관된인증서와키
를관리하는일이그다음과제가될것이다.
두번째, 데이터베이스보안은무시되는경우가많
지만 APT로인해이런관행도바뀌고있다. IBM은
데이터베이스보안서비스와관련제품이잘팔리고
있다고밝혔으며, 맥아피도이런흐름에합류하기위
해 센트리고(Sentrigo)를 인수했다. 이 분야가 지속
적으로성장하는만큼전문보안업체들이체크포인
트, HP, 또는시만텍과같은거대 IT기업의다음인
수대상으로부상할것이다.
세번째 맥아피와 시만텍 모두 DLP(Data Loss
Prevention) 비즈니스가호황이라고밝혔다. RSA도
DLP 역에서 최근 뭔가를 발표했다. APT와 모바
일 컴퓨팅의 증가는 DLP 판매 호황을 이어가는 동
력이될것이다.
네번째, 31%의조직이ID 및접근관리(IAM)에투
자하고있다는것은좋은지표지만, 원래 이분야는
복잡하며자주무시되곤 한다. 보안 및비즈니스임
원들은민감한데이터에 누가접근할수있는지, 이
들에게왜접근권한이필요한지, 이들이얼마나자
주민감한데이터에접근하는지, 그리고데이터에접
근한후데이터로무엇을하는지를 알아야한다. 이
것은무척어려운일이지만 우선강력한인증, 최소
권한원칙, 그리고지속적인모니터링부터시작하면
된다.
마지막으로, 민감한 데이터가 CISO조차 모르게
네트워크전반에걸쳐여러복사본으로분산되어존
재하는경우데이터보안제어는별효과가없다. 불
행히도이것이당면한가장큰보안과제중하나며
공격자들도이점을잘알고있다. 이문제를해결하
지않는조직은공격과손실이큰데이터유출에극
히취약한상태로남게된다.
APT, 방어대책은 있는가
APT, 아니 APT를효시로하는최근사이버공격
추세들을 어떻게 막느냐라는 질문에 버다시스
(Verdasys)의명예수석과학자이자인큐텔의CISO
다니엘 기어는“보안의 초점이 네트워크 보안에서
엔터프라이즈 정보 보호로 바뀌었다. 엔터프라이즈
정보보호의요점은단순하다. 데이터가공격과방어
모두의 중심이며, 방어 비
용이 공격 비용보다 더 빠
르게 증가한다”며 ATP 보
안 전략에 대해 설명을 시
작했다.
이런 불균형은 해소되지
않고 있으며, 공격과 방어
어느 쪽에 있든 관계없이
계획 시 가장 크게 작용하
는 요소다. 사이버 세계는
상호연결의세계이므로특
정기업의관점이나책임지
는범위바깥에서일어나는
방어 실패의 향을 받을
5IDG Korea
I D G T e c h R e p o r t
그림 2. APT 공격 라이프사이클
자료 : 블루코트
회사와 직원, 개인적인 관심, 관계, 사용 중인애플리케이션과 솔루션, 정책 등을 파악한다.
조사
진입
침투
수확
네트워크에 대해 최소한의 액세스 권한 이상을 얻는다.지하 거래를 이용하거나, 내부자를 이용하거나, 스피어피싱, USB 또는 기타 기술을 사용해 액세스 권한을얻을 수 있다. 여러 기술을 함께 사용할 수도 있다.
끈기있게 데이터를 수집해 밖으로 내보낸다. 탐지를피하는데 주의하며 장기적으로 진행한다. 참고 : 조사로 얻은 정보를 컨트롤러에게 전달하는데시스템을 사용할 수도 있다.
APT 진행에서 심층 침투는 지속적인 조사를혼합해 악용 가능한 시스템, 보안 정보 등의 파악과시스템 도는 직원에 대한 전술적인 공격 실행으로이뤄진다. 진입 활동을 추가로 진행할 수도 있다.
수도있다. 숙련된기술을가진공격자는이런전파
기법을사용한다. 또한이들은끈질기며기술은진보
하고있고, 그결과는위협적이다.
일반적인리스크관리는자산을보호하는데있어
그자산가치이상의투자는하지않는다. 자동차보
험, 도어록, 접근제어와그외에도많은부분이여기
에 해당된다. 마찬가지 관점을 공격 측면에서 보면
간단히쓰고버릴수있는도구를사용해얻을수있
는데이터라면굳이고도의도구를사용하지않는것
이다.
이런측면에서공격과방어는서로에맞춰조율된
다. 어떤기업내부에APT가감행되고있다면, 그곳
에존재하는데이터의가치가공격의위험과투자를
감수할가치가있기때문이다. 방어측에서는데이터
의가치에따라방어체계를조율해야 한다. 그러나
전략적불균형이공격측에유리하게작용하므로데
이터가치가상승할수록방어측의지출이상대적으
로더커지게된다.
CIO를비롯한경 진은당연히이위협에대해알
고있지만, 가장당면한위험에대해가장비용이덜
드는대책을수립하도록장려해야하는것도이들이
다. 비용이가장적게든다는것은금전적비용뿐만
아니라프로세스에도해당되는이야기다.
‘최소지출방어’는비상식적인개념이아니다. 다
만공격측이전략적우위를인지하고있는상황에서
는효과가없을뿐이다. 경계도, 일정한형태도없는
문제를해결한다는것은심지어예산이남아돈다해
도 CIO로서는 흥미를 갖기가 어려운 일이고, 이는
이해할수있는부분이다.
최소지출방어는조율도상당히어렵다. 인프라스
트럭처에방어선을추가했는데, 그직후또다른공격
이등장하는 경우를생각해보자. 이것을방어의승
리라고할수있을까? 승리하기위해서얼마나더많
은방어선이필요할지에대해이과정을통해새롭게
알아낸정보가있는가?
그렇지 않다. 승리한 것도 아니고, 새로운 방어선
이무력화되는모습을그저지켜보는것외에새롭게
얻은 정보도 없다. 유일한 방법은 위협보다 앞서는
것이다. 소 잃고외양간고치는식의사후 대응으로
는앞으로의양상에아무런 향도미치지못한다.
기어는“APT에서 가장 중요한 부분은 필요에 따
라변화하는운 자의능력”이라며, “전통적인방어
방식은더이상효과가없다고말할수있을정도로
이미충분한사례를통해입증됐다”고단언했다.
바이러스백신이보편화됐지만, 인지력을가진공
격기술의자동화된자체변이에대해서는무력하다.
방화벽 또한 보편화됐지만 기회를 노렸다가 방어선
이검사할수없는트래픽에공격트래픽을싣는도
구에는차단은커녕이렇다할힘도쓰지못한다. 자
동업데이트가보편화됐지만소프트웨어업데이트보
다공격도구에패치의리버스엔지니어링이적용되
는속도가훨씬더빠르다.
특히“APT가 이 정도까지 지능적일 거라고 생각
하지않는다면, 그것은공격을하는데그정도의지
능이 필요할 정도로 방어가 강력하지 않기 때문에
그것을 목격할 기회가 없었다는 것임을 알아야 한
다”며, “더중요한점은특정사람, 특정컴퓨터, 특
정 데이터만 공격할 수 있을 정도로 고도로 집중화
된 공격 무기를 무력화할 수 있는 방어막을 방어막
제조업체들이제공할것이라고기대하지말라”고주
장했다.
바이러스 백신 업체, 방화벽 엔지니어, 자동 업데
이트를운 하는업체들은넓게확산되지않은공격
에는일일이대처할여유가없다. 경제성이 없기때
문이다.
한편 협력업체는 고객의 자산에 대해서는 당사자
만큼신경을쓰지않을수도있고, 그러면APT의배
후에있는기민한적은이를알아채고데이터가협력
업체의손에있을때데이터에접근하는방법을택할
수있다. 즉, 데이터를잃는주체와그손실을차단해
야하는주체가항상같을수는없다는말이다. 이경
우는그반대로도적용된다. 즉, 자사가다른회사의
데이터를보유하는경우도있다.
방어의속도를더높인다고해서앞설수있는것
은아니다. 공격 측에전략적우위가있으므로 공격
측은항상방어측보다빠르게달릴수있다. 시그니
6IDG Korea
I D G T e c h R e p o r t
처 업데이트, 경계 구성, 소프트웨어 업데이트 또는
그와유사한것들을더빠르게실행하기위해서는그
만큼비용이소요되지만돌아오는결과는이에상응
하지못한다. 갈수록빨라지는새로운사이버공격의
확장에비교해방어수단의비용효율성을측정할때
사이버공간의방어자는이미상당히불리한처지에
있으며, 공격-방어의격차는계속넓어지고있다.
현존 방어로 힘들다면, 게임의 규칙을 바꿔라
의학에는진단의정확성을더높여도가능한처방
을더이상개선할수없는경우를가리키는‘치료법
상차이가없음’이라는개념이있다. APT 세계에서
대상이고도로집중화된공격은부정한내부자소행
과 구별이 불가능하다. APT인지 부정한 내부자 소
행인지구별한다해도치료법상의차이는없다.
모두가말하듯이부정한내부자소행은극히드문
경우일수있지만, 만일 실제로존재한다면그로 인
한잠재적피해는소수라는핸디캡을보상하고도남
는다. 더 중요한점은이 APT가실제로지능적이고
지속적이라면 이들이 이미 시스템에도 다녀갔다고
전제해야한다는것이다. 신뢰할수있는직원을알
리바이를 갖춘 부정한 내부자로 바꿔 놓을 수 있는
소셜엔지니어링기술을이들이갖추고있다고봐야
한다.
기어는기업들에게“지면안되는게임을지고있
다면규칙을바꿔라. 오늘날중심이되는규칙은모
든화살에대비한방패를두라는것이다. 그러나충
분할정도의방패는애초에들수도없다. 게다가적
게들수록더빠르게달릴수있다”고충고했다.
공격자가 구적인우위를갖고수익금을 R&D에
이미투자하는APT에서는공격자가하는일을막는
방법으로대처하는한공격자가항상승리하게된다.
결국 규칙을 바꿔야 한다. 공격자의 도구에 대처해
설계된더우수한도구로화력을맞교환할것이아니
라, 공격자의성공가능성을아예차단해야한다. 결
과에 집중하고, 목표를 선점하고, 스스로 정보 기관
이 되고, 회사를 무장시키고, 데이터를 무장시켜야
한다.
기어는EIP(Enterprise Information Protection)
라는 용어를 설명하면서, APT를 막는 방법에 대해
설명했다. 네트워크나 인프라스트럭처가 아닌 데이
터를감시와행동의단위로하는유연한데이터보안
방식이 가능하다. 하나하나의 화살을 막기 위한 또
다른방패가아니라, 정보 제어와리스크관리를위
한 포괄적인 요새, EIP(Enterprise Information
Protection)이라는용어로설명할수있는통합프레
임워크를구축하는것이다.
EIP는 데이터 유출 차단, 네트워크 액세스 제어,
암호화정책및시행, 감사와검사, 그리고현재기능
적으로각기고립되어있는그외의모든변형적데
이터 보안 기술을 정책 및 운 방침으로 지원되는
확장가능한플랫폼으로통합한다.
기어는“통합된 전사적 플랫폼 중심의 개념은 많
은CIO에게대대적인사고의변화를의미하지만, 네
트워크를 관리하면서 매일 공격자가 향유하는 우위
를목격하는모든사람들은방어무기의부족을너무
나잘알고있다. 하늘이무너진다며 호들갑을 떠는
것이 아니라, 위협이 더 지능화, 지속화될수록 거기
에굴하지않는유일한방법은위협보다앞서나가는
것임을명확히하자는것”이라고주장했다.
보안 업계가 말하는 APT 대응 전략
안철수연구소 시큐리티대응센터 이호웅 센터장은
“APT가무서운것은명확한공격대상을찾기위해
30~40만명이사용하는자동업데이트서버를장악
해 악성코드를 배포하고 확산시킨다는 점”이라며,
“이에효과적으로대응하기위해서는악성코드감염
전에 감지하고 방어하는 것이 가장 중요하다”고 설
명했다. 또한 공격징후를발견한후대응하게 되면
그 향이어디까지미쳤는지파악하기어려워조직
내모든파일에대한가시성확보가중요하다고강조
했다.
안철수연구소 서비스기획팀 이상구 차장은“APT
같은 고도화된 위협을 특정 솔루션만으로 해결하는
것은불가능하다. 지속적인모니터링과추적, 실시간
감시와히스토리관리, 행위분석과DNA/평판정보,
7IDG Korea
I D G T e c h R e p o r t
신종악성코드유입/감염인지등다각도에서정보를
수집하고분석하는것이필요하다”고강조했다.
같은 업체 서비스기획팀 신호철 팀장은“해커는
잠들지않는다. 해커로부터피해를당하지않으려면
해커보다 더 부지런해야 한다”고 지적했다. 신호철
팀장은“지금까지는 이벤트 기반의 관제 지만, 차
세대 관제는 상황 인식 상관 분석(context-aware
correlation), 히스토리분석, 맬웨어관리와지능형
보안(security intelligence)이 모두 포함된 통합 보
안관제형태가돼야한다”고제안했다.
안철수연구소 측은“이러한 통합 보안 관제만이
APT와같은고도의보안위협에대응할수있는방
안이며, 이에안랩CERT와ASEC, 세피니티포탈과
세피니티SOC, 세피니티ESM 기반위에보안관제
서비스와전문가서비스를결합한종합보안관제서
비스인‘안랩 세피니티(AhnLab Sefinity)’를 제공
하고있다”고소개했다.
블루코트, 계층적 방어 전략 제시
조직에서서로분리된것처럼보이는사건들의상
관 관계를 파악하지 못해 진행 중인 APT를 인식하
지못하는경우가많다. 예를들어, 일반적인이메일
스팸이나무작위전화통화처럼보 던것이실제로
는 APT의 초기 단계일 수 있다. 로그 파일과 보고
도구를 최대한으로 활용하는 방법을 익히면 APT를
인식하는능력을높일수있다. 하지만활성APT 방
어를강화하는일은더복잡할수있다. 적절한기술
채택외에도물리적인보안정책을업데이트하고최
종사용자의인식교육을진행하는과정이필요하다.
블루코트는 개별 APT 도구로부터 방어하고 여러
방어 계층을 결합하여 높은 수준의 APT 공격을 식
별할수있는계층형방어전략을내세웠다. 계층형
보안은종합적인게이트웨이및네트워크기반방어,
제어및모니터링 솔루션, 패치 및업데이트가필요
없는실시간인텔리전스를제공한다. 따라서성공적
인 APT 보안 전략을 사용하면 APT 라이프 사이클
의각단계에서악의적인활동을완화하고, 의심스러
운 흔적을 식별하여 관계를 파악하고, IT 부서에서
지속적으로보안정책을개선하도록할수있다고전
했다.
시만텍, 기업 실천 방안 제시
시만텍은 APT 공격에 대비해 기업들에게 다음과
같은실천방안을권고하고있다.
IT 정책의 수립 : 기업은 위협에 대한 우선순위를 정하
고, 기업 내 모든 위치에서 적용 가능한 정책을 정의하
고, 자동화 등의 기능을 이용해 보안 정책을 집행해야
한다.
정보 중심의 보호 : 정보 중심의 접근을 통해 적극적으
로 정보를 보호해야 한다. 콘텐츠 인식 기반 접근법을
통해 기업 내 가장 중요하고 민감한 정보가 어디에 있는
지를 파악해 적절한 보호 조치를 강구해야 한다.
시스템 관리 : 시스템 자체의 관리도 중요하다. 최신 보
안 패치를 배포하고, 자동화를 통해 효율성을 제고하고,
시스템 상태의 감시 및 보고 등의 활동을 통해 시스템을
관리해야 한다.
인프라 보호 : 개별 포인트의 보안에서 나아가 인프라
전체의 보호를 강구해야 한다. 중요한 내부 서버를 보
호하고 데이터의 백업 및 복구 역량을 우선적으로 확보
해야 한다. 또, 위협에 신속히 대응하기 위해 인프라 운
에 대한 가시성을 높이고 보안 인텔리전스를 갖춰야
한다.
24x7 중단없는 가용성 확보 : 안전한 보호와 더불어 보
안 운 으로 인해 시스템 가용성에 향을 받지 않도록
가용성을 확보하는 것 또한 중요하다. 또한 물리적 환경
과 동일하게 가상 환경을 관리하고 보호해야 한다.
정보 관리 전략 수립 : 정보 유지 계획과 정책을 포함한
정보 관리 전략을 수립해야 한다. 데이터의 수명주기를
고려해, 백업, 아카이빙, 삭제 등의 작업을 통해 총체적
인 정보 관리를 구현하고 데이터 유출방지 기술을 도입
한다.
8IDG Korea
I D G T e c h R e p o r t
Sales Contact
김성일, Eddy KimTel: + 82-2-558-6939 Mobile: + 82-10-2702-0360 Email: [email protected]
이포원, Tony (Powon) LeeTel: + 82-2-558-6924 Mobile : + 82-10-2053-2413Email : [email protected]
CIO Editorial Contact
천신응, Brian CheonTel: + 82-2-558-9882 Mobile: + 82-10-3221-7824Email: [email protected]
박해정, Jenny ParkTel: + 82-70-7725-9955 Mobile: + 82-10-2810-4518Email: [email protected]
IT World Editorial Contact
박재곤, Jay ParkTel: + 82-2-558-9887 Mobile: + 82-10-2782-6722Email: [email protected]
김현아, Hyuna KimTel: + 82-2-558-6956 Mobile: + 82-10-8300-8511Email: [email protected]
PR & Marketing Contact
김종민, Matt KimTel: + 82-2-558-6079 Mobile: + 82-10-2408-4121Email: [email protected]
박용학, Yong ParkTel: + 82-2-558-6965 Mobile: + 82-10-4744-2823Email: [email protected]
IDG KOREA4F ChangHwa Bldg., Bongnae-dong 1Ga, Jung-Gu, Seoul, Korea 100-161
IDG Korea Contacts
