[김국배기자] '3·20 전산망 대란'을 유발한 지능형지속(APT) 공격은 해외에서도 일찍이 모습을 드러냈었다.해외에서도 APT 공격으로 인한 피해는 잇따르고 있다.
APT 공격을 받은 기업은 IT 인프라에 장애가 발생하는 것은 물론 중요한 정보가 유출돼 비즈니스 신뢰도나 이미지 하락할 수도 있다. 매출에도 심각한 타격을 입게 된다. 또 APT 공격으로 해커가 장악한 PC는 좀비 PC가 돼 특정 사이트를 공격하는 디도스(DDoS) 공격에 이용될 수도 있다.
◆APT 공격 피해…해외는?
최근 들어 해외에서 발생한 굵직한 대형 보안 사고의 공통적인 방식은 바로 APT 공격이란 점이었다.
뉴욕타임즈(NYT)는 2012년 하반기 약 4개월 간 중국 해커들의 지속적인 공격을 받았다. 해커는 NYT의 상하이 지부 책임자와 남아시아 책임자(전 베이징 지부 책임자)의 메일을 해킹했고 NYT시스템에도 4달 동안 악성코드를 설치하며 이를 통해 시스템에 침입했다. 해커는 NYT 전 직원의 비밀번호를 획득해 이중 53개에 접근을 시도했다. 공격의 시점은 NYT가 중국의 원자바오 총리의친인철 사업 비리를 보도한 때였다.
2010년 7월 이란 부셰르 핵발전소에는 시설 준공을 맡은 러시아 전문가의 USB 메모리를 통해 '스턱스넷(Stuxnet)'에 감염돼 발전소 준공식이 늦춰지는 사건이 발생했다.스턱스넷 악성코드는 기간시설을 관리하는 원격감시제어시스템(SCADA) 시스템을 임의로 제어하는 데 사용됐다.
해커는 이 악성코드를 내부 폐쇄망에서 다른 시스템들로 유포하기 위해 여러 개의 취약점을 사용했다. 원자력 발전소 내부에서 사용하는 독일 지멘스 소프트웨어의 구조를 정확하게 파악해 관련 파일을 변조하기도 했다.
2011년 1월 구글 본사는 기업 내부에 외부로부터 발생한 침해 사고를 공개했었다. 이 공격은 구글 외에 어도비, 주니퍼, 야후 등 34개 업체를 공격 대상으로 했으며 '오퍼레이션 오로라(Operation Aurora)'라고 불린다.
공격 목적은 기업 내부 첨단 기술 관련 기밀 데이터의 탈취였다. 해커는 인터넷 익스플로러(IE)의 제로 데이(Zero DAy) 취약점이었던 MS10-002(CVE-2010-0249)를 악용했으며 기업 임직원에게 취약한 웹 페이지의 주소를 전송해 악성코드를 감염시켰다.
'나이트 드래곤 공격'이라 일컬어지는 침해사고는 2009년 11월 무렵부터 최소 1년 이상 카자흐스탄, 그리스, 대만과 미국에 위치한 글로벌 오일, 가스 및 석유 화학 업체들 대상으로 조직적으로 진행된 것으로 알려졌다. 웹서버 해킹, 악성코드 제작 및 유포, 다양한 해킹 툴이 사용됐다.
2011년 3월 18일 EMC RSA 보안사업본부도 외부의 침입을 당해 인증 관련 정보가 유출됐다는 사실을 기업 내부에 공개한 적이 있다.
공격 목적은 해당 기업에서 개발하는 일회용 비밀번호(OTP) 관련 기밀 데이터의 탈취였다. 해커는 SNS를 이용해 공격 목표에 대한 정보를 수집하고 사회공학기법을 이용해 공격 목표에 악성코드를 감염시켰다.어도비 플래시 플레이어의 알려지지 않은 제로데이 취약점을 이용해 공격한 후 기업 임직원으로부터 정보를 유출한 것이다.
◆APT 공격 왜 무서운가
APT 공격이 무서운 이유 중 하나는 매우 지능적이라는 점이다.
해커는 공격 대상으로 삼은 기업의 허술한 보안영역을 끈질기게 탐색해 결국 새로운 취약점을 찾아낸다. 보안 상 취약점이 발견됐을 때 그 문제가 알려지기도 전에 약점을 악용하는 이른바 '제로 데이' 공격을 감행한다.
사람 심리를 이용하는 사회공학적(social engineering) 기법을 사용하는 것도 위험성을 높인다. 시스템이 아닌 사람의 취약점을 공략해 원하는 정보를 얻는 셈이다.
이메일, 인터넷 메신저, SNS 등 다각화된 채널을 통해 지인이나 회사를 가장해 접근한다. 공략 대상 기업의 직원 명단과 이메일을 확보하고 SNS 등에서 해당 직원만의 특성을 파악해 활용하는 식이다.
예컨대 강아지를 좋아하는 여사원에게는 친구인 척 강아지 사진을, 출장을 자주 다니는 임원에게는 회사메일로 가장한 출장일정표 메일을, 이직을 원하는 사람에게는 스카우트 제의 메일을 보낸다. 친구나 지인, 회사 등 믿을 만한 곳에서 보낸 것으로 보이는 인터넷 메일이나 쪽지를 클릭하는 순간, 악성코드가 사용자의 PC에 깔리고 해킹 공격이 시작되는 것이다.
또한 APT 공격은 사냥감을 낚아채기 위해 한나절을 매복하는 맹수의 인내심처럼 끈질기고 지속적이라는 특징이 있다. 일회성 공격이 아니라 장기간 은밀하게 정보를 수집해 피해범위가 급속히 확산될 수 있는 것이다.
캐나다 토론토대 연구진의 인포메이션 워페어 모니터(Information Warfare Monitor) 보고서에 따르면, 지난 2007~2009년에 걸쳐 전 세계 정부기관의 정보를 탈취한 고스트넷은 시스템에 침투해 평균 145일, 최대 660일에 걸쳐 정보를 수집한 것으로 알려졌다.
악성코드가 삽입된 PDF 파일이나 MS 워드 파일을 이용하는 것이 기존의 공격방법보다 쉽고 성공 가능성이 높은 점을 이용해 공격자들은 애플리케이션 취약점 공격과 사회공학기법을 결합하기도 한다.
또한 하나의 두드러진 특징은 문서 파일과 같은 비실행형 파일(non-executable file)을 사용한다는 것이다.SNS 등 다양한 방법으로 공격 대상 조직에 대한 정보를 수집하고 해당 조직의 임직원에게 악성코드 이메일을 보내는 등 지속적인 타깃 공격을 한다. 이후 공격 목표인 조직 내부에서 사용하는 애플리케이션(응용 소프트웨어)의 취약점을 악용해 정보를 은밀하게 빼낸다.
안랩 시큐리티대응센터 이호웅 센터장은 "APT 공격에 대응하려면 하나의 보안 SW나 보안 장비에 의존하는 단층적인 방법이 아닌 악성 파일의 수집-분석-모니터링-대응의 전체 과정을 아우르는 전 방위적인 관점의 해결책이 필요하다"고 강조했다.
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기