Sponsored by Sponsored by 무단 전재 재배포 금지 본 PDF 문서는 IDG Korea의 프리미엄 회원에게 제공하는 문서로, 저작권법의 보호를 받습니다. IDG Korea의 허락 없이 PDF 문서를 온라인 사이트 등에 무단 게재, 전재하거나 유포할 수 없습니다. 은밀하고 끈질긴 위협 APT의 이해 Advanced Persistent Threat IDG Tech Report 공격 수단처럼 정의마저 다양한 APT 네 가지 특징…지능적, 지속적, 특정 타깃, 특정 목적 APT에 대한 기업들의 대처 현황 보안 업계가 말하는 APT 대응 실천 전략 은밀하고 끈질긴 위협 APT의 이해 Advanced Persistent Threat 최근 기업 보안에서 많이 언급되는 APT는 정의에 대한 의견이 분분하지만, 대체로 특정 대상에 대해 치밀하게 조사하고, 사전에 면밀히 계획에 의해 기존 방어 메커니즘을 피해 지속적으로 공격하는 것을 의미한다. APT(Advanced Persistent Threat)를 지능화된(Advanced)이라고 하는 이유는 가능한 모든 도구를 사용해 치밀하게 계획, 실행, 조정하기 때문이다. 또한 지속적(Persistent)이라고 하는 이유는 침입자가 탐지를 피해 끈질기게 공격하기 때문이다.
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
Sponsored bySponsored by
무단전재재배포금지본 PDF 문서는 IDG Korea의 프리미엄 회원에게 제공하는 문서로, 저작권법의 보호를 받습니다.
IDG Korea의 허락 없이 PDF 문서를 온라인 사이트 등에 무단 게재, 전재하거나 유포할 수 없습니다.
은 하고 끈질긴 위협
APT의 이해Advanced Persistent Threat
I D G T e c h R e p o r t
공격 수단처럼 정의마저 다양한 APT
네 가지 특징…지능적, 지속적, 특정 타깃, 특정 목적
APT에 대한 기업들의 대처 현황
보안 업계가 말하는 APT 대응 실천 전략
은 하고 끈질긴 위협
APT의 이해Advanced Persistent Threat
최근 기업 보안에서 많이 언급되는 APT는
정의에 대한 의견이 분분하지만, 대체로
특정 대상에 대해 치 하게 조사하고, 사전에
면 히 계획에 의해 기존 방어 메커니즘을 피해
지속적으로 공격하는 것을 의미한다.
APT(Advanced Persistent Threat)를
지능화된(Advanced)이라고 하는 이유는
가능한 모든 도구를 사용해 치 하게 계획,
실행, 조정하기 때문이다. 또한
지속적(Persistent)이라고 하는 이유는
침입자가 탐지를 피해 끈질기게
공격하기 때문이다.
I D G T e c h R e p o r t
2011년은 그간 유례를 찾아볼 수
없을 정도의 사이버 보안 사
고들이 줄을 이었다. 지난 11
월 28일, 넥슨은 자사가 운 하는 온라인 게임 메이
플스토리 백업 서버가 해킹당해 최대 1,322만 명의
이름과아이디, 주민등록번호, 비 번호등이유출당
한 것으로 알려졌으며, 해킹 시점은 18일로 조사됐
다고밝혔다.
넥슨측은자체조사결과, 메이플스토리백업서버
해킹에는백도어를생성하는악성코드두가지가사
용된것으로나타났다. 해당악성코드가백도어를생
성하고그취약점을공격한해커가백업서버까지접
근, 개인정보를유출시켰다는분석이다. 넥슨신용석
CSO는 기자간담회에서“지금까지 우리는 수많은
APT 공격을받아왔고이를방어해왔지만이번공격
을막지못해매우송구스럽다”고말했다.
신용석CSO의발언에는많은의미가함축되어있
었다. 그간 수많은공격이특정기업을대상으로 지
속적으로계속되어왔다는것과아무리두터운방패
도결국뚫리게되며, 공격한다는 것을알고도막지
못하는상황이발생한다는것이다.
최근 고객 정보 유출 사건들의 행태를 보면, 공격
자는이미몇개월전부터시스템내부에침입해관
리자가 눈치채지 못하게 조금씩 데이터를 뽑아냈다
는것이공통된특징이다. 또한그침입방법들을살
펴보면 한두 가지 기술을 사용한 것이 아니라 특정
타깃의보안취약점이발견될때까지다양한공격기
술을 사용한 것으로 파악됐다. 그래서 다양한 보안
사고유형으로나타나고 있지만, 이는 모두특정 타
깃을대상으로특정목적을갖고저지르는지속적인
사이버공격, 즉APT로파악된다. 이제사이버공격
은 공격 기술로 구분하는 것이 아니라 공격 목적에
따라분류해야하는시대가온것이다. 그첫단계가
바로 APT다. 요즘 보안 업체들은 하나같이 APT를
조심하라고외친다. 대체무엇일까? APT란놈이. 그
리고어떻게막아야할까?
실체없음에서차세대사이버공격까지정의마저다양
ATP(Advanced Persistent Threat, 지능형 타깃
지속 공격)의 정의에 대해 전문가들마다 제 각각의
답변을제시한다.
어떤이들은APT라는용어가지속적인사이버공
격과첩보전에직면하고있는미국방부와관련업체
들이처음쓰기시작했다고주장했다. 넷위트니스의
최고 보안 책임자인 에디 슈왈츠는“공군에서 처음
쓰기시작했을것”이라며, “맬웨어또는소셜엔지니
어링등국가의중대한경제적이익에반해사용되는
다양한기술과이런기술을사용하는적의지속적인
존재를의미한다”고설명했다.
보안업계는구 이약 1년전에중국에서비롯된
네트워크기반의지적재산도난공격에당했음을밝
힌 이후 APT라는 용어를 자주 언급하기 시작했다.
1IDG Korea
APT의 이해편집부 | ITWorld
그러나 IT 보안 업체들이 저마다 APT라는 용어 개
념을 제시하면서 각 업체마다 다른 의미의 APT를
주장했다.
HB개리 CEO인그렉호 런드는“APT의의미는
누구에게묻느냐에따라다르다”며, 미 공군과국방
부의경우‘중국정부의후원을받는위협’이라는노
골적인표현대신우회적으로이용어를사용하는데,
아닌척하지만뻔하다”고말했다.
호 런드의 관점에서 APT는 공격 목표 조직에서
기술에 수백만 달러를 투자한 네트워크에 존재하는
단순한약점을이용하는맬웨어를표현하는또다른
용어에 불과하다. 호 런드는 위협은 일반적으로
‘지능적’이지 않기 때문에 APT라는 용어는 무의미
한표현이라고. 대체로공격은알려진취약점을대상
으로틀에박힌형태로이뤄지므로패치만부지런히
잘해도막을수있다는것이다. 호 런드는“러시아
의크라임웨어가훨씬더지능적”이라고전했다. 호
런드는“APT는 20년동안지속된중국정부가후
원하는첩보활동”이라며, “그냥중국의 로벌확장
과 관계되는 모든 것이라고 생각하면 된다”고 일축
했다.
보안 업체, APT 용어 광범위하게 사용
다른보안전문가들도각기저마다의APT를내세
웠다.
시만텍의 제품 관리 담당 디렉터인 게리 이건은
“APT라는용어는구 에대한공격이후부쩍사용
빈도가 늘었다”고 말했다. 이건이 생각하는 APT는
데이터, 특히지적재산을훔치기위해한조직을대
상으로이뤄지는공격을의미한다. 시끌벅적한공격
이아니라은 한공격이며, 1회성 이벤트가아니라
지속적으로, 장기간동안 이뤄진다. 그러나 이건은
APT가 굳이 정부 후원에 의한 활동을 의미하지는
않는다는 의견이다. 어느 조직이든 이런 행위를 할
수있기때문이다.
맥아피도APT라는용어를도입한보안업체가운
데하나다. 그러나맥아피가최근발표한‘2011 위협
예측’보고서에나온정의에따르면, APT는상당히
넓은 범위를 포괄한다. 보고서는“고도로 복합적이
고치 하게실행되는대상화된모든공격이APT는
아니듯이, 모든 APT가 고도로 지능적이고 정교한
것은 아니”라며, “APT 공격과 사이버 범죄 또는 핵
티비스트(해킹을 사회 저항의 수단으로 삼는 무리)
공격을구분하는가장큰요소는정교함또는파급력
의정도가아니라공격자의동기”라고주장했다.
맥아피는 APT 개념을“순수한 금융/범죄적 이유
나정치적저항외의다른목적으로국가정부의후
원또는지시하에수행되는사이버첩보활동또는
사이버사보타주공격”이라고정의했다. 또한“국가
보안또는중요한 로벌경제활동에연루되는모든
기업은 아카이브, 문서 저장소, 지적재산 보관소 및
기타 데이터베이스를 뒤쫓는 침투적이고 지속적인
APT 공격의대상이될수있음을인식해야한다”고
주장했다.
맥아피 연구소 보안 전략가인 토랄브 디로는
“APT 공격이라함은공격의배후그룹이국가정부
의후원또는지시를받고, 이에따라일반적인사이
버범죄와는전혀다른, 특정목적을갖고임하는사
이버공격”이라고말했다.
2IDG Korea
I D G T e c h R e p o r t
APT인 것은데이터, 특히 지적재산권을 절취하기 위해 주기적이고 장기간 이뤄지는 은 한 공격국가의 후원을 받는 공격. 하지만 이는 모든 보안전문가가 동의하는 것은 아니다. 경제적인 이익이나 정치적인 목적으로 정보를 훔치려는 누구나 이런 공격을 할 수 있기 때문이다.
APT가 아닌 것모든 APT가 선진화된 것은 아니다. 많은 APT 네트워크 칩입은 기업의 단순한 실수를 악용해 이뤄진다.정치적 활동가 단체의 핵티비스트 공격이 아니다제우스(ZeuS)같은 크라임웨어를 사용하지만 금전적 이익이 가장 큰 목적은 아니다.
APT의 정의
디로는“APT의동기는군사적, 정치적또는경제
적 우위를 위한 정보를 수집하는 것”이라고 정의했
다. 그는 최근에는회사내에서점차확산되고 있는
소셜네트워킹사이트를스피어피싱(특정대상에집
중된 피싱)을 위한 데이터 수집 수단뿐만 아니라 의
도한대상에맬웨어를배포하기위한매개체로도사
용하는추세라고설명했다.
디로는최근정부소속의공격대상자들에게제우
스버전을다운로드하도록유도한가짜백악관이메
일 크리스마스 카드 사건을 APT 사례로 꼽으면서
“제우스는 범죄자들이 은행 정보를 훔치기 위해 흔
히사용한다. 그런데이버전은문서를훔치기위한
다른프로그램을다운로드했다”고전했다. 또한“데
이터손실방지, 네트워크및사용자행동분석, 애플
리케이션제어와같은기술이더욱성숙화되면서네
트워크를 안전하게 보호하는 데 도움이 되고 있다”
고덧붙 다.
반면, 이아이 디지털 시큐리티 CTO 마크 마이프
렛은“APT라는용어를사용할생각이없으며, 용어
가 아니라 내가 전하고자 하는 말을 하려고 노력한
다”며, “APT는제멋대로인마케팅부서들사이에서
더욱인기를끌고있다. 이제 APT를새로운두려움
의대상으로만드는것”이라고지적했다.
네가지특징…지능적, 지속적, 특정 타깃, 특정 목적
안철수연구소는APT의가장큰특징은오랜시간
을들여집요하게공격대상의취약점을찾아내거나
공격루트를찾아내는것으로, 기존과같이단일 공
격방법으로해석해서는안된다고전했다.
블루코트보안보고서에서APT는기술, 프로세스
및사용자교육을통한방어메커니즘을피할수있
도록치 하게조사하고사전에면 히계획된공격
이라고정의했다. 일반 악성코드공격과달리, APT
는특정조직이나그룹을대상으로하는특화된공격
이며, 일반적인악성코드, 피싱, 해킹, 스파이웨어및
기타 도구를 종합적으로 폭넓게 사용해 조직적으로
진행된다고설명했다.
또한 이 보고서는 APT는 새로운 종류의 위협이
아니며그기원은 1990년대까지거슬러올라가지만
지난몇년동안특히크게증가했다고. 특히 전에는
주로 정부 기관, 계약자 공급업체를 대상으로 했지
만, 민간 부문에도 급속도로 퍼져 액슨모빌, BP
(British Petroleum), RSA, 하트랜드페이먼트시스
템즈, TJX, 소니, 구 등에도공격을가했다.
블루코트는“APT가 신종 악성코드, 취약성 또는
기타 기술로 오해되는 경우가 많다”며, “이는 단순
히프로그래밍스타일, 취약점공격기술또는위협
은폐 메커니즘과 같이 한 가지 위협이나 사건이 아
니라‘지능화된지속적인공격자’를나타낸다”고주
장했다.
실제로 APT는 특정 조직 또는 조직 그룹을 대상
으로명확한목표를달성하기위한확장된공격이다.
APT는목적달성을위해일반적인악성코드에서복
잡한제로데이공격전술에이르는광범위한도구를
사용할수있다.
APT를 지능화된(Advanced)이라고 하는 이유는
가능한모든도구를사용해치 하게계획, 실행, 조
정하기때문이다. 또한지속적(Persistent)이라고하
는이유는침입자가탐지를피해끈질기게공격하기
때문이다. 타깃조직에서 APT를발견하면, APT 악
성코드네트워크전체는여러달에걸친조사와계획
이수포로돌아감으로써큰타격을받을수있다. 반
면일반악성코드공격은대규모로이뤄지기때문에
개인이눈치를챈다고해도공격의효과가거의약화
되지않는다.
APT ‘당해보면 안다’, 소잃고 외양간?
혹시보안업체들이자사의프로그램으로막을수
있도록조작된공격을비 리에, 고의적으로일으키
는것이아닌가?
물론 그렇지는 않다. 그러나 케케묵은 이 질문은
현재의보안상황이보안업체들이말하는것처럼정
말나쁜지, 그 여부에대한광범위한 의심을시사했
다. 특히 APT의등장으로인해이런의심이더더욱
증폭된다.
ESG는 APT의위협이어느만큼현실적인지확인
3IDG Korea
I D G T e c h R e p o r t
하기위해미국소재대규모조직에소속된244명의
보안 전문가를 대상으로 설문 조사를 실시했다.
ESG 수석 애널리스트 존 올트식은“이 프로젝트를
시작했을 때 이 공격이 고유한 형태로 존재하는지,
아니면진부한사이버공격에새로운경보딱지를붙
이기위한마케팅용어에불과한지를두고많은논
란이있었다”고말했다.
올트식은“전문가들의 의견은 엇갈렸다. 50% 정
도는APT를스턱스넷, 오로라, 제우스등과같은고
유한형태의위협으로 보며, 48%는 어느정도는고
유하지만 다른 위협과 비슷한 것으로, 2%는 고유한
위협이아니라고봤다”고전했다.
APT에대해많이알수록고유한것으로인식하는
경향이 나타났다. 올트식에 따르면 대부분의 CISO
는 실제로 공격을 당하기 전까지는 APT를 전혀 새
로운 것으로 생각하지 않았다. 그러나 APT 공격을
목격하면, 이공격이상황에따라적응하면서네트워
크를탐색하고, 스스로시스템에잠입하고, 정교한-
많은경우공격자가직접제작한- 혁신적기술을사
용해보안도구를속이면서은 함을유지하는모습
에깜짝놀라게된다는것이다.
실제 공격률은 놀라울 정도다. 설문 대상의 약
20%는자신소속된회사가공격목표가되었음을확
신한다고 답했으며, 39%도 아마 공격 목표가 됐을
것이라고 답했다. 후자는 은 함과 끈기가 APT 공
격의 특성임을 나타낸다. 최초 APT 공격으로 추정
되는구 을상대로한오로라작전은9개월동안지
속됐다.
요점은 이것이다. APT에 대해 잘 알수록 APT를
두려워한다는것이다. APT를걱정하지않는기업이
있다면, 지금부터걱정해야할지도모른다.
APT에 대한 기업들의 대처 현황
이를 대처하기 위해 기업들은 무엇을 하고 있을
까? 설문에응답한대규모조직의약 50%가분기마
다한번이상의공식적인침투테스트를 수행한다.
현재공격에대한최신정보를얻기위해 68%는네
트워크 관리 도구, 51%는 로그 파일 분석, 43%는
IDS/IPS 경고, 41%는SIEM 도구를활용하고있다.
특히 40%의 조직이 APT로 인해 새로운 정보 보
안 기술에 투자했다고 답했다. APT에 대한 준비가
잘 된 응답자 가운데 90%는 APT에 대처하기 위해
새로운또는수정된보안프로세스를구현했다고답
했으며, 60%는새로운방어기술에투자했다고답했
다. 교육역시핵심적이다. 준비된조직의 56%는보
안 직원을 위한 APT 교육을 추가했다고 답했으며,
절반이상이일반직원을대상으로도교육을실시한
다고밝혔다.
흥미를끄는부분은민감한데이터를보호하기위
해 기업에서 실시하는 투자의 유형이다. 예를 들면
다음과같다.
APT로 인해 새로운 도구를 구매한 조직의 54%는 데이
터 암호화 기술에 투자함
APT로 인해 새로운 도구를 구매한 조직의 43%는 데이
터베이스 보안 기술에 투자함
APT로 인해 새로운 도구를 구매한 조직의 35%는 DLP
에 투자함
APT로 인해 새로운 도구를 구매한 조직의 31%는 새로
운 유형의 사용자 인증 또는 접근 제어에 투자함
4IDG Korea
I D G T e c h R e p o r t
그림 1. APT에 사용되는공격방법들
자료 : 블루코트
APT 공격의 궁극적인 목적은 데이터 탈취이므로
데이터 보안 제어를 강화하는 것은 타당한 조치다.
그외에살펴볼부분은다음과같다.
첫번째, 이전부터가파르게증가할것으로예상되
어오던데이터암호화가현실화됐다. 앞으로는네트
워크, 스토리지, 파일시스템, 데이터베이스, 그리고
애플리케이션 계층에서 데이터 암호화가 증가할 것
이다. 이런모든암호화및이와연관된인증서와키
를관리하는일이그다음과제가될것이다.
두번째, 데이터베이스보안은무시되는경우가많
지만 APT로인해이런관행도바뀌고있다. IBM은
데이터베이스보안서비스와관련제품이잘팔리고
있다고밝혔으며, 맥아피도이런흐름에합류하기위
해 센트리고(Sentrigo)를 인수했다. 이 분야가 지속
적으로성장하는만큼전문보안업체들이체크포인
트, HP, 또는시만텍과같은거대 IT기업의다음인
수대상으로부상할것이다.
세번째 맥아피와 시만텍 모두 DLP(Data Loss
Prevention) 비즈니스가호황이라고밝혔다. RSA도
DLP 역에서 최근 뭔가를 발표했다. APT와 모바
일 컴퓨팅의 증가는 DLP 판매 호황을 이어가는 동
력이될것이다.
네번째, 31%의조직이ID 및접근관리(IAM)에투
자하고있다는것은좋은지표지만, 원래 이분야는
복잡하며자주무시되곤 한다. 보안 및비즈니스임
원들은민감한데이터에 누가접근할수있는지, 이
들에게왜접근권한이필요한지, 이들이얼마나자
주민감한데이터에접근하는지, 그리고데이터에접
근한후데이터로무엇을하는지를 알아야한다. 이
것은무척어려운일이지만 우선강력한인증, 최소
권한원칙, 그리고지속적인모니터링부터시작하면
된다.
마지막으로, 민감한 데이터가 CISO조차 모르게
네트워크전반에걸쳐여러복사본으로분산되어존
재하는경우데이터보안제어는별효과가없다. 불
행히도이것이당면한가장큰보안과제중하나며
공격자들도이점을잘알고있다. 이문제를해결하
지않는조직은공격과손실이큰데이터유출에극
히취약한상태로남게된다.
APT, 방어대책은 있는가
APT, 아니 APT를효시로하는최근사이버공격
추세들을 어떻게 막느냐라는 질문에 버다시스
(Verdasys)의명예수석과학자이자인큐텔의CISO
다니엘 기어는“보안의 초점이 네트워크 보안에서
엔터프라이즈 정보 보호로 바뀌었다. 엔터프라이즈
정보보호의요점은단순하다. 데이터가공격과방어
모두의 중심이며, 방어 비
용이 공격 비용보다 더 빠
르게 증가한다”며 ATP 보
안 전략에 대해 설명을 시
작했다.
이런 불균형은 해소되지
않고 있으며, 공격과 방어
어느 쪽에 있든 관계없이
계획 시 가장 크게 작용하
는 요소다. 사이버 세계는
상호연결의세계이므로특
정기업의관점이나책임지
는범위바깥에서일어나는
방어 실패의 향을 받을
5IDG Korea
I D G T e c h R e p o r t
그림 2. APT 공격 라이프사이클
자료 : 블루코트
회사와 직원, 개인적인 관심, 관계, 사용 중인애플리케이션과 솔루션, 정책 등을 파악한다.
조사
진입
침투
수확
네트워크에 대해 최소한의 액세스 권한 이상을 얻는다.지하 거래를 이용하거나, 내부자를 이용하거나, 스피어피싱, USB 또는 기타 기술을 사용해 액세스 권한을얻을 수 있다. 여러 기술을 함께 사용할 수도 있다.
끈기있게 데이터를 수집해 밖으로 내보낸다. 탐지를피하는데 주의하며 장기적으로 진행한다. 참고 : 조사로 얻은 정보를 컨트롤러에게 전달하는데시스템을 사용할 수도 있다.
APT 진행에서 심층 침투는 지속적인 조사를혼합해 악용 가능한 시스템, 보안 정보 등의 파악과시스템 도는 직원에 대한 전술적인 공격 실행으로이뤄진다. 진입 활동을 추가로 진행할 수도 있다.