박세환 Ph.D. 한국과학기술정보연구원 
ReSEAT프로그램 전문연구위원

키워드 : APT 공격유형, 수집데이터의 단계별 처리 프로세스, 공급망(supply chain) 확립방안, 

보안관제 시나리오, 보안관제 시스템, 사이버공격, 보안취약점, 실시간 공격징후, 사이버 침해, 보안장비 로그

개요

APT 공격(APT(Advanced Persistent Threat) 공격은 해커 개인에 의한 공격이 아닌 정부기관이나 특정 기업의 중요한 정보를 해킹하거나 정치적 목적의 사이버 테러 등을 목적으로 하는 범죄집단에 의해 웹 사이트, 기업 및 개인을 상대로 지속적인 해킹 공격을 의미한다. 

최근 들어서는 전세계적인 해킹공격의 트랜드이기도 하다)과 이로 인한 개인정보 유출문제가 심각하게 대두되고 있다. 

근래의 기록적인 APT 공격사례로는 2011년 4월12일 농협 전산망 금융서버 해킹사건을 들 수 있다. 

이 때의 공격방법은 모 웹하드 사이트의 업데이트 프로그램으로 위장된 악성코드를 유포해 이 악성코드에 감염된 노트북 중 한대가 농협시스템 관리자인 것을 알게 된 해커는 7개월간 노트북을 모니터링해서 공격을 감행했던 것이다. 

이 해킹사고는 웹서버 98대중 45대와 내부서버 440대중 180대, 테스트서버 49대중 48대가 디스크 손상 피해를 끼친 것으로 나타났다. 이로 인해 농협은 2주간 정상영업이 어려웠고 최소 80억 원 이상의 경제적 피해를 입은 것으로 나타났다.

이때 문제가 됐던 웹하드 사이트는 2009년의 ‘7.7 DDoS 대란(2009년 7월7일 한국과 미국의 주요 정부기관, 포털 사이트, 은행 사이트 등이 DDoS(Distributed Denial of Service : 분산서비스거부) 공격을 당해 모든 서비스가 일시적으로 마비된 사건이다.

DDoS 공격이란 다수의 PC를 이용해 특정 시스템으로 대량의 유해 트래픽을 전송함으로써 해당 시스템의 정상적인 서비스를 방해하는 사이버 공격을 의미한다)’ 때도 악성코드 유포지가 됐었는데 농협 사건 때도 또 문제가 됐던 것이다. 

이는 그 이후에도 악성코드 유포지에 대한 근본적인 보안대책이 전혀 이뤄지지 않고 있다는 점을 시사하고 있다(농협측의 부실한 비밀번호관리도 문제였다. 2010년 7월 이후 관리자 비밀번호를 한번도 변경하지 않았고 비밀번호 또한 유추하기 쉬운 aaaa, 1111 등이었다는 것은 명백한 보안관리 부실이라고 볼 수 있다).

보안 관련 업체들은 APT 공격을 탐지 및 방어할 수 있는 다양한 솔루션들을 출시하고 있다. 

그 중 가장 주목받고 있는 것이 통합 모니터링 방식을 이용한 보안관제 시스템 구축이다. 기존의 보안관제 시스템은 네트워크 및 웹 방화벽, IDS/IPS, DDoS 장비, L7 방화벽 등의 네트워크 보안장비를 이용한 모니터링을 통해 공격에 대응하는 것이었다(이처럼 보안장비 위주로 모니터링을 하는 이유는 보안관제 솔루션의 용량, 보안관제 요원의 역량, 내부적인 업무협조 부족 등 현실적인 한계사항 때문인 것으로 보인다). 

이러한 보안관리 방안은 빅데이터(Bigdata) 처리 성능, 단순한 상관 분석, 내부 위협에 대한 대응 미흡 등의 측면에서 많은 문제점이 있다. 특히 비보안전문가에 의한 보안관리, 내부통제와 같은 고 위험군에 대한 관리의 미흡 등 비효율적인 보안체계가 문제점으로 지적되고 있다.

이 연구에서는 APT 공격에 효과적으로 대응할 수 있는 공격방법 및 APT 공격유형 분석 등 APT공격 대응 이슈, 첨단기업, 금융기관 및 공공기관 등의 수집데이터에 대한 단계별 처리 프로세스 기반의 단계별 공급망(supply chain) 확립방안과 이에 따른 단계별 보안관제 시나리오 작성방안 중심의 보안관제 시스템 구축 이슈에 대해 설명한다.