UPDATE : 2020-07-03 18:19 (금)
APT 공격 대응 위한 보안관제 시스템 구축 이슈
상태바
APT 공격 대응 위한 보안관제 시스템 구축 이슈
  • 윤효진 기자
  • 승인 2015.06.08 14:17
  • 댓글 0
이 기사를 공유합니다

박세환 Ph.D. 한국과학기술정보연구원 
ReSEAT프로그램 전문연구위원

키워드 : APT 공격유형, 수집데이터의 단계별 처리 프로세스, 공급망(supply chain) 확립방안, 

보안관제 시나리오, 보안관제 시스템, 사이버공격, 보안취약점, 실시간 공격징후, 사이버 침해, 보안장비 로그

개요

APT 공격(APT(Advanced Persistent Threat) 공격은 해커 개인에 의한 공격이 아닌 정부기관이나 특정 기업의 중요한 정보를 해킹하거나 정치적 목적의 사이버 테러 등을 목적으로 하는 범죄집단에 의해 웹 사이트, 기업 및 개인을 상대로 지속적인 해킹 공격을 의미한다. 

최근 들어서는 전세계적인 해킹공격의 트랜드이기도 하다)과 이로 인한 개인정보 유출문제가 심각하게 대두되고 있다. 

근래의 기록적인 APT 공격사례로는 2011년 4월12일 농협 전산망 금융서버 해킹사건을 들 수 있다. 

이 때의 공격방법은 모 웹하드 사이트의 업데이트 프로그램으로 위장된 악성코드를 유포해 이 악성코드에 감염된 노트북 중 한대가 농협시스템 관리자인 것을 알게 된 해커는 7개월간 노트북을 모니터링해서 공격을 감행했던 것이다. 

이 해킹사고는 웹서버 98대중 45대와 내부서버 440대중 180대, 테스트서버 49대중 48대가 디스크 손상 피해를 끼친 것으로 나타났다. 이로 인해 농협은 2주간 정상영업이 어려웠고 최소 80억 원 이상의 경제적 피해를 입은 것으로 나타났다.

이때 문제가 됐던 웹하드 사이트는 2009년의 ‘7.7 DDoS 대란(2009년 7월7일 한국과 미국의 주요 정부기관, 포털 사이트, 은행 사이트 등이 DDoS(Distributed Denial of Service : 분산서비스거부) 공격을 당해 모든 서비스가 일시적으로 마비된 사건이다.

DDoS 공격이란 다수의 PC를 이용해 특정 시스템으로 대량의 유해 트래픽을 전송함으로써 해당 시스템의 정상적인 서비스를 방해하는 사이버 공격을 의미한다)’ 때도 악성코드 유포지가 됐었는데 농협 사건 때도 또 문제가 됐던 것이다. 

이는 그 이후에도 악성코드 유포지에 대한 근본적인 보안대책이 전혀 이뤄지지 않고 있다는 점을 시사하고 있다(농협측의 부실한 비밀번호관리도 문제였다. 2010년 7월 이후 관리자 비밀번호를 한번도 변경하지 않았고 비밀번호 또한 유추하기 쉬운 aaaa, 1111 등이었다는 것은 명백한 보안관리 부실이라고 볼 수 있다).

보안 관련 업체들은 APT 공격을 탐지 및 방어할 수 있는 다양한 솔루션들을 출시하고 있다. 

그 중 가장 주목받고 있는 것이 통합 모니터링 방식을 이용한 보안관제 시스템 구축이다. 기존의 보안관제 시스템은 네트워크 및 웹 방화벽, IDS/IPS, DDoS 장비, L7 방화벽 등의 네트워크 보안장비를 이용한 모니터링을 통해 공격에 대응하는 것이었다(이처럼 보안장비 위주로 모니터링을 하는 이유는 보안관제 솔루션의 용량, 보안관제 요원의 역량, 내부적인 업무협조 부족 등 현실적인 한계사항 때문인 것으로 보인다). 

▲ APT 공격유형 현황

이러한 보안관리 방안은 빅데이터(Bigdata) 처리 성능, 단순한 상관 분석, 내부 위협에 대한 대응 미흡 등의 측면에서 많은 문제점이 있다. 특히 비보안전문가에 의한 보안관리, 내부통제와 같은 고 위험군에 대한 관리의 미흡 등 비효율적인 보안체계가 문제점으로 지적되고 있다.

이 연구에서는 APT 공격에 효과적으로 대응할 수 있는 공격방법 및 APT 공격유형 분석 등 APT공격 대응 이슈, 첨단기업, 금융기관 및 공공기관 등의 수집데이터에 대한 단계별 처리 프로세스 기반의 단계별 공급망(supply chain) 확립방안과 이에 따른 단계별 보안관제 시나리오 작성방안 중심의 보안관제 시스템 구축 이슈에 대해 설명한다.

APT공격 대응 이슈

APT 공격방법의 이해 = APT 공격에 효과적으로 대응할 수 있는 보안관제 시스템을 구축하기 위해서는 먼저 APT 공격방법을 정확히 이해할 필요가 있다. 

이 핵심을 간단히 요약하면 ▲APT 공격자들은 서버나 PC 등 시스템을 직접 공격하기보다 해당 기관(기업)의 임직원을 대상으로 위장 이메일 전송, USB 저장장치 해캉, 임직원 가정의 PC에 악성코드 감염 등 이른바 사회공학적 공격방법을 주로 활용한다.

▲특히 이러한 공격시도가 수개월~수년에 걸쳐 지속적으로 이뤄진다는 점에서 대응하기 어려운 점이 있다.

▲ [표 1] 2013~2014년 APT 공격유형 및 공격유형 현황<자료 : 곽희선(2015. 4)/재구성>

이러한 지능형 APT 공격 진행루트는 ‘목표 설정→사전 조사(사전 조사의 경우는 그 누구도 알 수 없으며 보안 솔루션 측면에서도 공격자의 사전 조사는 파악할 수 있는 영역이 아니기 때문에 이를 감지하는 데 더욱 어려움이 있다)→공격대상 설정→악성코드 유포→내부 PC 감염→백 도어 및 툴 설치→계정 탈취→내부 인프라 장악→보안사고 유발’이라는 프로세스망(process chain)으로 구성된다.

APT 공격유형 분석 = 국내 한 보안솔루션 개발 전문기업의 보안관제 모니터링 센터에서 2013~2014년 APT 공격유형에 대한 상위 5위의 통계자료를 보면 2014년의 경우 웹 취약점이 42%, SQL 인젝션(Injection)이 38%, 파일 업로드가 6%, 파일 다운로드가 5%, 악성코드 삽입이 3%로 나타났다. 

또한 APT 공격유형 현황을 보면 보안센터에 잘 알려져 있는 공격에 대해서는 어떤 방식으로든 정확히 모니터링을 하고 있는 것으로 나타났다. 그렇지만 실제 잘 알려지지 않은 공격유형이 20.8%나 존재하고 있다는 것을 알 수 있다. 

2013~2014년 동안 상위 5위의 APT 공격유형 분석결과와 공격유형 현황에 대한 조사결과를 <표1>에 나타낸다.

이처럼 APT 공격에서 취약점 공격이나 알려지지 않은 공격에 대한 탐지기술이나 분석기술 수준은 아직 저조한 편이다. 이를 해결할 수 있는 다양한 연구를 통해 최적의 대응 솔루션 개발에 주력할 필요가 있다.

보안관제 시스템 구축 이슈

단계별 공급망 확립 = 첨단 기술을 보유하고 있거나 개발 중이 기업, 수많은 개인의 금융정보를 취급하고 있는 각 금융기관, 시민의 생활편의 서비스를 제공하는 공공기관 등에서 점차 모니터링 영역이 확대되면서 이 영역에 대한 최적의 분석방법의 필요성이 절실하다. 

이를 위해서는 먼저 수집하는 데이터에 대한 이해가 선행돼야 한다. 즉, 전술한바와 같은‘비효율적인 보안체계가 갖고 있는 문제점’을 해결해 확대된 영역의 데이터 수집방법, 취약점과 공격과의 연관관계 등을 기반으로 대응 시나리오를 만들어내야 할 것이다. 

▲ [표 2] 수집데이터의 단계별 처리 프로세스<자료 : 곽희선(2015. 4)/재구성>

이에 <표2>와 같이 수집된 데이터를 단계별로 처리하는 프로세스가 필요하다.

<표2>와 같은 수집데이터의 단계별 처리 프로세스를 통해 APT 및 DDoS 등과 같은 인위적이고 지능적인 해킹공격에 대한 예측 및 추론 결과를 기반으로 해킹의 진원지를 탐지할 수 있는 솔루션을 개발할 필요가 있다. 

아울러 해당 기업이나 기관에서 이러한 솔루션을 저비용으로 도입하고 사용하기 쉬운 룰(rule)을 만들어 의사결정권자에게 알기 쉽게 보고서를 작성할 수 있는 공급망을 형성할 필요가 있다.

단계별 보안관제 시나리오 작성 = <표2>와 같은 수집데이터의 단계별 처리 프로세스를 기반으로 보안관제 시스템의 주 모니터링 영역을 단일 시그니처 맵핑(Single signature), 복합시나리오(Complex signature), 평판기반 시나리오(Reputation scenario), 수학기반 시나리오(Statistical scenario), 침해사례분석(Experiential scenario) 등 시그니처(signature) 탐지를 위한 보안관제 시나리오가 작성돼야 한다. 

이러한 보안관제 시나리오를 효과적으로 작성하기 위해서는 보안취약점, 공격방법, 탐지방법, 보안장비 등 보안 인프라 뿐 아니라 트래픽 밀도, 서비스 방식, 운영체제 및 애플리케이션, 보호할 정보의 종류 및 특성 등에 대한 정확한 정의 및 이해가 필요하다.

가장 효과적인 최적의 차세대 보안관제 시나리오를 작성하기 위해서는 경계보안(Perimeter), 계정감사(Identity), 서버·DB·파일 관리, 애플리케이션 및 패킷(packet) 관리, 세션(session) 관리 등이 필수적인 주요 모니터링 항목으로 요구된다. 

또한 기존 보안관제 영역에서 주로 모니터링 하던 경계보안 외에 다른 세부적인 부분의 시나리오를 작성해야 하고 보호해야 하는 정보(대상)을 명확히 정의한 후 탐지 시나리오를 작성해야 한다. 

이와 함께 UI(User Interface) 데이터를 표현할  때 사용자 판단근거, 현재 보안위협 가시성, 관제(Viewing) 항목의 우선순위, 과거의 위협(threat)·취약점(vulnerability), 네트워크 및 호스트 가시성 등을 명시해 현재 네트워크 및 서버의 보안상황을 쉽게 파악할 수 있도록 해야 한다.

결언

해킹 등 사이버공격으로 인한 기밀유출, 업무마비, 개인정보 유출 등 피해가 심각하게 대두되고 있다. 

보안취약점을 발견하는 순간 이를 악용한 공격을 가하고 확산시키는 제로데이(Zero-Day) 취약점 공격이 발생하고 있어 외부 위협요인으로부터 정보를 보호하고 업무의 안정적인 수행을 위한 기반마련이 필요하다.

2009년 7월의 ‘7·7 DDoS 사이버공격’, 2011년 4월의 ‘농협 전산망 금융서버 해킹사건’과 같은 대규모 사이버공격을 사전에 탐지해 예방하고 이에 대응할 수 있는 실시간 공격징후 탐지 및 대응 보안관제 시스템을 구축·운영할 필요가 있다. 

특히 첨단 기업, 금융기관 및 공공기관 등의 보유 자료에 대한 내·외부 침해 및 자료 유출시 치명적인 위협을 초래할 수 있어 사이버테러에 대한 보안관제 시스템을 강화할 필요가 있다. 

아울러 모니터링 영역을 대폭 확대하고 각 영역에 맞는 최적의 분석방법의 개발이 절실한 시점이다. 

매년 고도화·지능화되고 있는 사이버 침해 행위에 대한 조기 식별 및 대응을 위한 통합 지원센터도 필요해 보인다. 

각 기관의 다양한 보안장비의 로그를 수집하고 연관정보를 분석해 침해사고를 예측하고 사전에 예방할 수 있는 통합 침해 대응체계의 구축도 필요하다.

참고문헌
- www.dailysecu.com/news_view.php?article_id=256
- www.icqa.or.kr/helpdesk/newsv.aspx?idx=16
- 곽희선, ‘진화하는 APT 공격에 대응한 보안관제의 진화 방안’, IDG 요약, 보안관제-안랩, IDG, 2015. 4.
- pwww.itworld.co.krtechlibrary92743



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.