Home > 전체기사
[보.알.남] 은밀하게, 똑똑하게... 지능형 지속공격 ‘APT’
  |  입력 : 2019-07-09 17:53
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
표적형 이메일 공격, 주요 공격 수단... 2007년 미 공군 대령이 처음 언급
다양한 공격법 활용해 개념 갈팡질팡하기도... 종합적 방어 필요

[보안뉴스 양원모 기자] ‘APT’하면 일반인은 아파트부터 떠올릴 것이다. 보안업계 관계자라면 탄식부터 나올 것이다. “아, 그놈의...” 말은 한 다리만 건너도 전혀 다른 뜻으로 해석된다. 브라질에서 우리나라 전통음식 떡만둣국을 입에 올렸다간 몰매 맞을 수 있다. 브라질에 비슷한 발음의 욕(‘또마노꾸’)이 있어서다. 지능형 지속공격(APT)은 보안업계의 ‘또마노꾸’다. 최근 몇 년간 기업과 보안 관계자들을 끈질기게 괴롭혀왔다. 악당이 집요한 데다 성실하면 어떤 결과가 초래되는지 제대로 보여줬다.

[이미지=iclickart]


APT는 문자 그대로 ‘하나의 분야나 대상을 정해 꾸준히 공격하는 행위’다. ‘지능형’이란 표현이 말해주듯 최신 공격기법을 동원한다. 전 세계 APT그룹 정보를 수집하는 보안업체 파이어아이는 APT를 “몇 달 또는 몇 년의 오랜 기간에 걸쳐 자신의 목표를 추구하며 공격 경로나, 악성코드 페이로드를 변경해 공격 방식을 조정하는 것”으로 정의하고 있다. APT는 얼마나 사이버 세상을 망쳤고, 어떤 사악한 미래를 그리고 있을까.

꾸준히, 은밀히, 다양하게
APT의 주요 공격 수단인 표적형 이메일 공격은 1990년대부터 보고됐다. 2005년 영국과 미국 CERT는 표적형 이메일 공격을 ‘떠오르는 사이버 공격 트렌드’로 선정했다. 2007년 4월, 그렉 래트레이 미 공군 대령은 방산업체 임원들과의 브리핑 자리에서 표적형 이메일 공격을 활용한 새로운 사이버 위협을 소개했다. 길게는 몇 달간 시스템에 잠복하며 표적의 취약점을 노리는 이 공격법에 그는 ‘지능형 지속공격(APT)’이란 이름을 붙였다.

2007년이 APT가 이름을 얻고, 존재가 정의된 해라면, 2010년은 대중에게 그 위험성을 각인시킨 해다. 구글 등 IT 기업 34곳의 기밀 정보 탈취를 시도한 ‘오퍼레이션 오로라(1월)’, 이란 원자력 발전소 시스템의 무력화를 시도한 ‘스턱스넷(6월)’ 등 APT 관련 사건·사고가 잇따르며 전 세계에 APT 주의보가 발령됐다. 2011년엔 국내에도 마수가 뻗쳤다. 농협 전산망 해킹 사건, SK커뮤니케이션즈·넥슨 개인정보 유출 등 피해사례가 속속 등장하며 한국도 APT 안전지대가 아님이 증명됐다.

APT의 개념은 오랫동안 갈팡질팡했다. 여러 공격법을 활용하기 때문이다. 최근에는 ‘하나의 타깃을 정하고, 사회공학적 기법을 활용한 이메일로 타깃의 PC에 악성코드를 설치해 시스템을 공격하는 것’ 정도로 정리되는 추세다. 핵심은 ‘지속성’과 ‘지능성’이다. 꾸준히, 은밀히 공격(지속성)이 이뤄졌고, 그 과정에서 제로데이·악성코드·랜섬웨어·피싱 등 다양한 공격법이 동원됐다(지능성)면 APT로 볼 수 있다는 게 전문가들의 공통된 의견이다. 배후에 특정 국가가 의심되는 것도 특징이다. 2015년 베트남 TP은행 해킹, 2016년 방글라데시 중앙은행 해킹의 주범으로 지목된 해커조직 APT38은 북한 정권의 지원이 유력시 된다.

APT에 농락 당한 대한민국
APT는 국내 기업과 기관을 농락했다. 안랩에 따르면, 우리나라에서 발생한 첫 APT는 2004년 6월 정부와 기업을 대상으로 배포된 트로이목마 ‘핍뷰어(PeepViewer)’다. 대만에서 제작된 것으로 알려진 이 트로이목마는 세미나 안내, 설문조사를 위장한 이메일로 ‘워크숍 내용과 일정.MDB’라는 첨부 파일을 전송해 악성코드 감염을 시도했다. 국가정보원은 당시 공격으로 공공기관 6곳 PC 64대와 민간 기업 PC 52대가 핍뷰어에 감염됐다고 밝혔다.

[이미지=iclickart]


2011년에는 “APT가 창궐했다”는 수식을 붙여도 좋을 정도로 많은 사건·사고가 터졌다. 그 해 4월, 농협 전산망 내부 자료가 대규모 손상돼 최대 18일간 서비스가 중단되는 사고가 발생했다. 농협 서버의 유지보수업체 직원이 서버 관리용 노트북에 영화를 불법 다운로드한 게 화근이었다. 해커들은 노트북에 악성코드를 심고 7개월간 서버를 제집처럼 지나들며 각종 정보를 탈취했다. 여기서 끝이 아니었다. 서버에 공격 프로그램을 심어 다른 서버에 공격 명령을 내리기까지 했다. 해커가 서버 운영 시스템 절반을 파괴하는 데 걸린 시간은 고작 30분이었다.

같은 해 같은 달, 금융업체 현대캐피탈에서는 개인정보 유출사고가 일어났다. 현대캐피탈 전 직원의 아이디와 비밀번호를 입수한 해커 그룹은 광고메일 발송 서버와 차량 정비내역 조회 서버에 침입해 화면을 복사하거나 해킹 프로그램을 통해 데이터베이스(DB)를 다운로드하는 식으로 총 175만 명의 개인정보를 탈취했다. 당시 현대캐피탈 고객은 180만 명 정도였다. 전체 회원의 97%가 개인유출 피해를 본 것이다. 이외에도 SK커뮤니케이션즈(3,500만), 넥슨(1,300만)에서 APT로 추정되는 개인정보 유출사고가 발생해 정보 유출에 대한 국민적 불안감을 증폭시켰다.

APT는 시간이 흘러도 여전히 보안업계의 촉각을 곤두세우게 하는 존재다. 한국인터넷진흥원(KISA)은 지난해 국내 주요 보안업체 6곳과 선정한 ‘2019년도 7대 사이버 공격 전망’에서 지능화한 스피어피싱과 APT 공격을 올해 주목해야 할 사이버 위협으로 꼽았다. 카스퍼스키랩은 ‘2019년 위협 예측’ 보고서에서 새로운 APT그룹의 부상을 경고했다. 사이버 암시장에서 판매 중인 수백 가지 공격 도구와 재설계된 익스플로잇 등이 APT의 진화를 끌어내, 전에 없던 유형의 APT그룹이 등장할 가능성이 높다는 것이다.

APT는 전면전... 종합적 방어 필요
전쟁으로 따지면, APT는 전면전이다. 가능한 모든 수단을 동원해 표적의 허점을 파고들고, 다양한 공격을 수행한다. 육해공을 넘나드는 적의 침략에 맞서려면 종합적 방어체계를 구축해야 한다. 강화된 보안의식으로 공격 빌미를 주지 않는 것도 중요하다.

공격 교두보가 될 수 있는 △엔드포인트 △네트워크 △서버에 대한 통합 보안은 APT 방어의 기본이다. 이글루시큐리티는 공식 홈페이지의 ‘APT 공격과 대응방안’에서 “엔드포인트는 내부망 침투를 위한 필수 요소”라며 “(APT는) 엔드포인트에서 악성코드를 감염시키는 작업에서 시작되므로 외부 인터페이스 통제, 백신, 방화벽, 악성코드 방어 솔루션 등을 통해 APT 발생 가능성을 최소화해야 한다”고 조언한다. 네트워크단에서 악성코드를 분석하거나, 빅데이터 기반 보안관제 시스템(SIEM) 등을 통해 정보 시스템의 이벤트, 로그, 감사 정보를 장시간 심층 분석하는 것도 필요하다고 업체는 강조한다.

무엇보다 중요한 건 사람이다. 공격도, 방어도, 피해도 모두 사람 손 끝에서 시작되기 때문이다. 이글루시큐리티는 “모든 공격의 시작은 사용자의 부주의한 행동에서부터 시작되는 만큼, 주기적인 보안교육 및 모의훈련까지 한다면 (APT 방어에) 굉장히 좋은 효과가 있을 것”이라고 전했다.
[양원모 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
지난 10월 정보보호정책관을 정보네트워크정책관으로 변경하는 과학기술정보통신부의 조직 개편 움직임이 논란이 된 바 있습니다. 과기정통부에서 정보보호 업무를 총괄하는 조직 위상에 대한 견해는?
과기정통부에서 분리해 별도의 정부부처가 전담해야
과기정통부 내 정보보호정책실(실장급)로 격상시켜야
지금처럼 정보보호정책관(국장급) 조직을 유지해야
네트워크 업무를 통합시키되, 정보보호네트워크정책관(국장급)으로 명명해야
과기정통부의 초안처럼 정보네트워크정책관(국장급)으로 해야
기타(댓글로)
      

이스온
원격감시 / 안전관리

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

파나소닉코리아
Sevurity Camera / CCTV

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

AVIGILON
영상 보안 / 출입 통제

대명코퍼레이션
DVR / IP카메라

티제이원
영상 보안 / 출입 통제

하이크비전 코리아
CCTV / IP / NVR

원우이엔지
줌카메라

비전정보통신
IP카메라 / VMS / 폴

다후아 코리아
CCTV / DVR

씨앤비텍
통합보안솔루션

지케이테코
출입통제 / 얼굴인식

아이디스
DVR / IP / VMS

한국하니웰
CCTV / DVR

이화트론
DVR / IP / CCTV

피엔에이
CCTV / IP 카메라 모듈

테크스피어
손혈관 / 차량하부 검색기

쿠도커뮤니케이션
스마트 관제 솔루션

슈프리마
출입통제 / 얼굴인식

아이티엑스엠투엠
DVR / NVR / IP CAMERA

씨엠아이텍
근태관리 소프트웨어 / 홍채 스케너

링크플로우
이동형 CCTV 솔루션

한국씨텍
PTZ CCTV

엔토스정보통신
DVR / NVR / CCTV

경인씨엔에스
CCTV / 자동복구장치

트루엔
IP 카메라

씨오피코리아
CCTV 영상 전송장비

CCTV협동조합
CCTV

디비시스
CCTV토탈솔루션

도마카바코리아
시큐리티 게이트

다민정보산업
기업형 스토리지

테크어헤드
얼굴인식 소프트웨어

에스카
CCTV / 영상개선

브이유텍
플랫폼 기반 통합 NVR

윈스
지능형 차세대 방화벽

포티넷
네트워크 보안

화이트박스로보틱스
CCTV / 카메라

신우테크
팬틸드 / 하우징

네이즈
VMS

케이제이테크
지문 / 얼굴 출입 통제기

혜인에스앤에스
통합보안시스템

셀링스시스템
IP 카메라 / 비디오 서버

사라다
지능형 객체 인식 시스템

수퍼락
출입통제 시스템

구네보코리아
보안게이트

일산정밀
CCTV / 부품 / 윈도우

아이엔아이
울타리 침입 감지 시스템

이노뎁
VMS

새눈
CCTV 상태관리 솔루션

케이티앤씨
CCTV / 모듈 / 도어락

파이브지티
얼굴인식 시스템

이스트컨트롤
통합 출입 통제 솔루션

아이유플러스
레이더 / 카메라

지와이네트웍스
CCTV 영상분석

두레옵트로닉스
카메라 렌즈

지에스티엔지니어링
게이트 / 스피드게이트

이후커뮤니케이션
전송장치/CCTV

창우
폴대

넷플로우
IP인터폰 / 방송시스템

대산시큐리티
CCTV 폴 / 함체 / 랙

엘림광통신
광전송링크

티에스아이솔루션
출입 통제 솔루션

에프에스네트웍스
스피드 돔 카메라

엔클라우드
VMS / 스위치

DK솔루션
메트릭스 / 망전송시스템

싸이닉스
스피드 돔 카메라

다원테크
CCTV / POLE / 브라켓

유진시스템코리아
팬틸트 / 하우징

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

카티스
출입통제 / 외곽경비

세환엠에스
시큐리티 게이트