[APT 전격해부 3회] 악성코드 잡는 것이 APT 막는 것인가?

아주경제 장윤정 기자 = 지능형지속위험(APT) 공격을 막기 위해 악성코드를 잘 잡아내는 기술과 솔루션을 도입해야 한다는 주장은 맞는 말인가? 이 질문에 대한 결론을 먼저 얘기하자면, 어불성설이다.

공격을 준비하는 단계부터 실질적인 공격이 발생하기까지 전 과정에 걸쳐 분명한 목표를 갖고 있는 APT 공격에 대응하기 위해선 공격에 사용된 일부 악성코드를 탐지하는 것만으로는 분명한 한계가 존재한다. APT를 막기 위해 악성코드를 막는 것이 도움은 될 수 있지만 근본적인 대안이 되기는 어렵다,

소리없이 다가와 기업과 국가를 뒤흔드는 APT공격을 막아내는 가장 효과적인 방법은 무엇일까? APT전문회사 파이어아이와 아주경제는 공동으로 3회에 걸쳐 대안을 모색해본다.

제 1회 APT가 뭐에요?
제 2회 공격이 아닌 공격자를 막아야한다

제 3회 악성코드 잡는 것이 APT 막는 것인가?

일반인에게 APT와 악성코드 공격의 구별은 어려울 수 있다. 이는 APT 공격에 대한 이해가 부족하기 때문이다. 단순히 악성코드를 차단하고 치료하는 솔루션은 APT 공격의 극히 일부만 대응할 수 있으며, 진정한 APT 솔루션은 전체적인 시각에서 APT 공격자의 고도화된 전략 전부를 방어할 수 있는 대응 시스템에 가깝다.

국내에서 APT라는 개념은 실제 공격과 많은 차이가 있다. 예를 들어, 한 사이트를 모니터링 했을 때, 100번의 공격이 감지되고 그 중 90번이 단순히 게임 사용자 계정을 훔치는 악성코드일 경우 계정을 훔치는 악성코드를 배포했다고 해서 APT공격이라고 단정지을 수 없다.

하지만, 나머지 10번의 공격이 특정 사이트 접속 시 사용자 모르게 감염되는 '드라이브 바이 다운로드(Drive By Download)방식을 취했거나, 최근 발견된 취약점을 노리고 접근했다면 이는 눈여겨봐야 한다. 공격이 들어온 악성코드를 분석했을 때, 내부 조직을 노린 듯한 흔적이 추가로 발견된다면. 이때 이 공격은 APT에 의한 위협이 발생했다고 말할 수 있다.

APT에 대한 정확한 이해와 함께, 이를 막기 위해서는 APT 공격에 적절한 대응이 가능한 종합적인 기술과 시스템 마련이 필요하다. 일시적인 공격을 방어하기 위한 단편적인 수단이 아닌, 사전에 미리 공격을 방어할 수 있고 똑같은 피해를 당하지 않도록 그 원인을 정확히 밝혀낼 수 있는 적절한 대응체계 마련이 중요하다.

최근의 보안 솔루션 역시 이러한 흐름에 맞춰 점점 그 형태가 발전되고 있다. 그 중 각종 사이버 공격을 식별하기 위한 위협 데이터와 공격행위에 대한 동기 및 전략을 밝혀내기 위한 서비스 형태의 보안 솔루션은 전문업체의 기술과 정보, 전문 지식을 바탕으로 더욱 종합적인 형태의 해결책을 실시간으로 제공받을 수 있어 APT 방어를 위한 주요 대안으로 부상하고 있다.

이는, 보안 장비나 백신설치를 제공하는 단편적인 활동이 아닌, 조직의 상황에 맞춰, 전문 분석팀, 포렌식 전문가, 엔지니어들의 맞춤형 활동 등 보안 업체가 갖추고 있는 총체적인 역량을 지원하는 것으로 탐지, 방어, 분석, 대응 등 끊임없이 진화하고 있는 APT 공격에 맞춰 실시간 대응이 가능한 방어 시스템 구축이 가능하다는 장점이 있다.

이진원 파이어아이 수석 컨설턴트는 "매년 발행하는 M-동향 보고서의 데이터를 보면 APT공격에 의해 피해자가 그 사실을 알게 되는데 평균 229일이 걸리며, 그 중 3분의 2 이상이 공격에 대한 해결책을 갖고 있지 않다"면서 "기업에게 이 시간은 치명적인 손해를 입기에 충분한 시간이며, 보안 담당자는 해결책 마련에 고심해야 한다"고 말했다.

그는 또 "APT 공격은 생각보다 훨씬 지능적이고 위험한 공격 행위"라며 "이에 대한 효율적인 방어를 위해 APT 공격이 기업뿐 아니라 국가 안보에 위협을 가할수 있는 매우 심각한 문제라는 것을 인식하는 것이 중요하다. 고도화된 APT 공격은 기업의 비즈니스에 손해를 입히며, 나아가 국가 경제 및 인프라를 뒤흔들 수있다는 것을 명심해야 한다"고 강조했다.
 

APT공격에 대한 종합적인 방어 체재 마련이 중요[자료 : 파이어아이]