mir.pe (일반/어두운 화면)
최근 수정 시각 : 2024-08-22 07:16:03

APT(해킹)

Advanced Persistent Threat에서 넘어옴
1. 개요2. 상세3. 방어의 어려움4. 해결 방법5. 피해 사례

1. 개요

Advanced Persistent Threat

지능적이고(Advanced) 지속적인(Persistent) 공격(Threat)을 가하는 해킹의 통칭.

여기까지는 대부분의 보안업계 종사자들이 동의하는 내용이지만 구체적으로 들어가면 각자 정의가 달라진다. 어느 범위까지 APT로 인정하는가에서 의견이 갈린다. 심지어는 AJAX처럼 마케팅 용어라고 비난도 받는다.

그렇지만 2015년 이후 APT라는 개념은 지능적으로 이메일을 이용해 악성코드 등을 심거나 강제로 암호화시켜 데이터를 날리는 것 또는 메일 내용을 통해 심리적 허점을 파고드는 행위에 초점이 맞추어져 가는 추세이다. 기존의 보이스 피싱이나 전화사기와 구별되는 부분은 첨단매체인 PC나 스마트폰 등에서 전자 네트워크와 이메일을 사용해 보안 취약점이나 심리적인 약점을 파고드는 형태를 자세하게 통칭하고 있다.

2. 상세

APT를 수행하기 위해 전자 네트워크를 통하여 가능한 모든 수단을 동원한다. 제로 데이 공격, 악성코드 유포, 사회공학적 기법 등 해킹이 될 만한 행위는 전부 하며 심지어 일부는 회사에 직접 침입하기도 한다. 그런데 이러한 기법들이 2000년 이전부터 이미 수행되고 있었고 특히 사회공학적 기법은 보이스 피싱 같은 데서도 비슷하게 쓰이고 있는지라 케빈 미트닉은 자신의 저서 〈네트워크 속의 유령〉을 통해 옛날에 했던 방식과 무슨 차이가 있냐고 까댔다.

당장 대한민국에서도 APT라는 말이 채 나오기 전인 2000년대에 여러 게임에서 '캐시 아이템 버그'를 빙자하여 개인정보를 빼낸 사례가 있었다. 버그를 빙자해 패스워드를 포함한 개인정보를 입력하게 하고 이를 여론조사 호스팅 사이트를 통해 유출시키는 기법으로, 이것도 넓게 보면 APT라 말할 수 있다.[1]

3. 방어의 어려움

보안회사가 APT 공격을 막기 어려운 이유는 여러가지가 있다.

전통적인 보안은 포괄적인 범위보다 한 분야에 집중되어 있다. 예를 들면 방화벽, 백신, 웹 관제 등 분야별로 나누어져 있다. APT는 보안 서비스의 단절된 빈틈과 사각지대를 노리기 때문에 방어가 힘들다. 다시 말해 보안회사는 부분적인 방어이며 APT는 종합적인 공격이라 막기 힘들다. 게다가 방어해야 할 빈틈이 많다.

APT를 비롯한 해킹 공격은 해커에게 주도권이 있다. 공격자는 보안회사의 취약점을 알지만 보안회사는 공격자를 감지하기 힘들다. 특히 APT라면 공격 규모도 작고 정밀해서 눈치채기 힘들다. 해커는 적당한 때가 되기까지 아주 길게 대기할수 있다.

결정적으로 해커들은 앞서 언급했듯 사회공학적 기법까지 동원하고 있다. 즉, 인간의 허점을 노리고 있다. 보안을 운영하는 회사의 주체도 결국 사람인지라 언젠가는 실수를 저지르게 되어 있는데 해커가 이 허점을 들쑤시면 제 아무리 튼튼한 시스템도 금방 무너지게 된다. 특히 내부자가 회사에 앙심을 품고 변절하거나 직원 하나하나가 다 빈틈인 경우는 집 문이 열린 것이나 다름없다. 실제로 대다수의 APT는 보이스 피싱과 비슷한 방식으로 정보를 스스로 유출하도록 유도하고 있다. 이러한 점이 APT 방어를 더욱 어렵게 하는 원인이다.

해커가 세심하게 파고드는 만큼 보안회사도 파고들어야 하나 고용주(회사)는 내부 정보 유출등의 이유로 보안회사가 파고드는것을 허용하지 않는다. 결국 고용주 스스로 보안대책을 세우는 것 밖에 없다. 이 때문에 APT 방어를 문자 그대로 전쟁에 빗대는 일도 있다. 사실 사용하는 기법들을 생각하면 단순히 어디어디를 해결한다기보다는 차라리 사이버 전쟁을 치른다고 봐야 한다.

특히 2010년대 들어 이메일에 국경이 없어지면서 해외발 각종 최신 기법과 바이러스를 동원한 APT가 날아들어오고 있는데 한국을 포함한 극동 아시아권의 중견이나 중소기업을 대상으로 더욱 극심하다. 그 이유는 수출기업이니 영어 이메일을 읽어야 하고, 반대로 영어는 익숙하지 않으므로 이메일 속의 작은 변화를 잘 눈치채지 못해서이다. 예를 들자면 [email protected]라고 거래처에서 오던 이메일을 중간에서 APT 기법으로 가로채 [email protected] 식으로 조그만 변화를 주고 거래처인데 계좌를 바꿔 송금하라고 한다든지(...), 아니면 이메일 안에 거래처 사이트 링크를 심어두고 급한일 있으니 클릭하라고 한 후 ingexample.com을 inqexample.com 식으로 바꾸고 접속하면 악성코드를 심어 이메일과 암호를 빼낸 후 온갖 장난질을 치는 식이다.

더욱 무서운 것은 암호나 정보를 빼낸 이후에 바로 장난질을 치는 게 아니라 몇 주에서 몇 달간을 잠복하면서 송금할 시기까지 기다리다가 막판에 한 방 크게 먹이는 식이다. 여기서 한 술 더 뜨는 놈들은 이메일을 가로채서 자기가 읽은 후 중간에서 중개무역 하듯이 거래처에 그걸 그대로 장기간 보내주다가 결정적인 순간에 조작질을 한다.

이메일을 이용한 수법에서 exe 등의 첨부파일을 이용한 수법은 이미 고전이고 요즘은 PDF 확장자를 가진 파일이나 Doc등의 문서파일 내용에 APT를 심는 식으로 고차원적 조작질까지 하기 시작하고 있다. 이메일 자체는 정상인데 거기 슬쩍 링크를 끼워 넣는 식도 있다. 링크를 그대로 넣으면 영리한 APT 전용 백신에는 위험사이트라고 탐지되니 여기서 또 한 술 더 뜨는 경우엔 www.??????.com 식이라면 고의적으로 링크를 바꿔 사용자가 직접 타이핑해 넣게 유도하는 짓까지 한다(...).

4. 해결 방법

앞서 언급했지만 APT는 기술, 회사 인프라, 그리고 결정적으로 구성원의 취약점을 두루 악용하므로 단순히 특정 보안 문제를 논한다기보다는 사이버 보안 분야의 문화 지체를 논한다고 봐야 한다. 이 때문에 기존의 보안 기술 만으로는 절대로 막을 수 없으며 그저 초기 보이스 피싱처럼 구성원 개개인이 몸사림 치고 스스로 보호하는 수 밖에 없다.

가장 중요한 점은 이메일로 들어오는 것은 그 무엇이건 일단 의심하라.

예를 들어 거래처의 이메일이라도

이런 식으로 이메일 속의 사소하거나 큰 변화들을 눈치채는 것, 그리고 의심하는 것이 APT 예방의 시작이다. 특히 중요한 것은 절대 이메일 내 첨부파일과 링크를 함부로 열지 않는 것이다. 보내주기로 약속한 자료인지 확인하고, 이후 반드시 바이러스 유무를 재확인하고 백신의 샌드박스에서 돌려본 후에도 100% 안심하지는 마라. APT 기반은 기존의 유명 백신이 탐지하지 못 하는 최신 바이러스를 첨부파일에 넣는 경우도 있다. 그래서 최신의 APT 백신들 중에는 아예 이메일 내용 자체를 전부 PDF 등으로 만들어 실행 자체가 불가능하게 하고 보여주거나, 기존의 이메일과 차이점이 있는 부분을 클로즈업하는 기능을 넣는 경우들도 있다.

큰 건이나 금전, 계좌, 송금에 관련된 부분은 상대의 변경 요청 시 절대 이메일로만 확인하지 마라. 언어의 장벽이 있더라도 현지 회사에 전화나 팩스로 확인해야 한다. 물론 언어나 거리의 어려움이 있겠지만 해외를 대상으로 사업이나 수출입을 하는데 이런 일에 전화 한 통, 팩스 한 건을 안 하면 되겠는가? 한국에서 한국 업체들만 거래하거나 회사가 아닌 개인이라 영어 이메일을 받을 일이 없다면 상대적으로 연락과 구별이 더 쉽다.

고용주는 본인은 물론 직원 교육 및 관리를 철저히 수행하여 직원의 사보타주를 예방하고, 지속적인 보안의식 고취와 함께 이메일 등에서 변화가 생겼을 시 즉각 보고하고 대처하는 능동적인 직원들을 양성해야 한다. 고용주 혼자 보안 잘 하고 경계수준 높아봐야 어리버리한 직원 하나가 피로에 쩔어 바이러스 걸린 첨부파일 누르면 몽땅 도루묵이다. 따라서 열정 페이 같이 직원의 사기를 저해하는 요소는 당연히 퇴출시켜야 한다. 농협 사건에서도 언급하겠지만 사보타주 역시 APT로 악용될 소지가 있기 때문이다.

다른 예로 2014년 원자력 발전소 도면 유출사건 역시 거래처로 위장해 안심하게 만든 이메일 악성코드를 통해 이뤄졌으며 정부합동수사단이 한수원 자료 유출 경로를 추적한 결과 원전 관련 도면 등 상당수가 협력사에서 빠져나갔다. 공격자는 이메일에 악성코드를 삽입해 PC를 감염시킨 뒤 자료를 빼냈다. 비용이 더 들더라도 협력사들의 보안에 대한 투자와 교육을 하지 않으면 어떤 위험성이 있는지 여실히 보여준 예. 원전도면 해킹 사고에도 협력사 보안은 여전히 허술, 전자신문 2015.03.23

보안 회사 역시 이러한 점을 알아두어 보안 전문가 뿐만 아니라 사회인문학 전문가를 영입하는 등 APT의 원인을 사전에 파악하도록 유도해야 한다. 결국 회사더러 통합적 교육 하라는 소리다.

무엇보다 단순하게 기존의 코드와 비교해서 걸러내는 백신 수준을 벗어나, 지능형으로 변화를 잡아내고, 주로 발생하는 APT 패턴을 학습하고 변화를 잡아주는 프로그램이 필요하다. 유명한 스팸이나 사기신고, 자주 나오는 아이피 등의 데이터베이스와 비교해 위험수준을 능동적으로 결정하는 방식도 APT에 효과적 대응이 가능하다.

5. 피해 사례



[1] 이 때문에 구글 여론조사 호스팅에서는 이러한 행위가 의심되는 경우 즉시 신고하도록 권장하고 있다. [2] 당시 이란에 부품을 제공하던 전자제품 회사의 증명서를 위조한 것을 보아 이와 관련된 내부자를 통해 넣은 것으로 추정 [3] NSA를 해킹한 해킹 집단이 워너크라이 유포에 관여했다는 의혹이 있지만, 2017년 8월 현재 명확히 밝혀지지 않은 상태다. 참고로 해킹 자체는 사회공학적 기법을 이용한 듯하다.

분류