보안 이슈

AhnLab 보안 전문가의 심층분석! 보안 이슈 정보를 전해드립니다.

[SPECIAL REPORT] APT 공격의 비밀을 파헤치다

  • Facebook에 공유하실 수
    있습니다.

  • Twitter에 공유하실 수
    있습니다.

  • Linked in

    Linked in에 공유하실 수
    있습니다.

  • 붙여넣기

    블로그나 게시판에 붙여넣기 하실
    수 있습니다.

  • 안철수연구소
  • 2011-10-04

안철수연구소, APT 공격 시나리오 제시

 

 

“안철수연구소의APT 대응 프로세스?

안철수연구소에서 아파트에 들어가는 보안 솔루션을 출시한 건가요?”

얼마 전 개최된 보안 컨퍼런스에서 한 참관자가 안철수연구소 담당자에게 건넨 질문이다.

지능형 타깃 위협인APT(Advanced Persistent Threat)는 많은 이들에게 아직 낯선 단어이다. 하지만 최근 전세계적으로 가장 큰 이슈가 되고 있는 보안 위협이다.

안철수연구소는 지난2010년 말부터 꾸준하게APT의 위험성을 강조해왔다.

월간’’에서는2회에 걸쳐APT 공격과 방어 시나리오를 소개하고자 한다. 이번10월호에서는APT 관련 사고를 분석한 결과를 토대로 상세한APT 공격 시나리오를 살펴본다.

 

  

APT는 ‘다양한 IT 기술과 방식들을 이용해 조직적으로 경제적인 목적을 위해 다양한 보안 위협들을 생산해 지속적으로 특정 대상에게 가하는 일련의 행위’를 의미한다. APT 공격의 대상이 되는 것은 정부 기관, 사회 기간 산업 시설, 정보 통신 기업, 금융 기관 등이다. 공격자들은 이들 대상으로부터 정치적인 행동 또는 경제적으로 커다란 이익을 확보할 수 있는 정보 탈취를 목적으로 하고 있다. 예를 들어 경쟁 기업의 재무 관련 기밀이나 비공개 투자 계획 문서 등을 탈취하여 해당 기업의 비즈니스 활동 전반에 걸친 타격을 주기 위한 목적도 가지고 있다. 대표적인 사례로는 금융기관을 대상으로 한 제우스, 이란 원전을 공격한 스턱스넷, 구글을 공격한 오퍼레이션 오로라 등을 꼽을 수 있다. 


과거에 발생한 보안 위협과 비교했을 때 APT 공격은 기술적 고도화와 정교함이 대단히 위력적이다. 따라서 하나의 보안 소프트웨어나 보안 장비에만 의존하는 단층적인 방법으로는 APT 공격에 대응하기란 역부족이다. APT 공격에 대응하기 위해서는 각 기업별로 정보보호 프로세스가 확립되어야만 한다. 또한 개별적인 대응방안을 계층적 구조인 전방위적 융합 보안 체계로 재편해야 한다. 전방위적인 융합 보안 체계란 외부에서 들어오는 공격과 내부에서 유출되는 것을 동시에 감시 및 대응하는 종합적인 대책을 말한다.

 


APT 공격 시나리오

 

APT 공격에 효과적으로 대응하기 위해서는 우선 APT 공격이 어떻게 이루어지는지를 알아야 한다. 지금부터 안철수연구소가 분석한 APT 공격 시나리오를 살펴보자.
APT 공격은 ► 공격 준비 ► 악성코드 유포 시도 ►악성코드 감염 및 공격자의 침입 ►보안 사고 ► 공격 종료 등의 5단계로 이루어진다.

 

APT 진행 프로세스

 

 

1. 공격 준비 단계


공격자는 특정 또는 불특정 다수에게 악성코드를 배포하기 위하여 여러 형태의 공격을 준비한다. 최근 악성코드의 배포 동향을 살펴보면, 악성코드를 직접 전파하기보다는 일반 사용자에게 많이 알려진 사이트의 웹 서버를 통한 배포가 주류를 이루고 있다. 공격자들은 SQL 인젝션, 서버 권한 획득 등의 기법을 이용하여 웹 서버에 악성코드를 업로드한다. 이렇게 공격에 이용된 웹에 일반 사용자가 접근했을 때 악성코드를 자동으로 다운로드하거나 혹은 메일 등을 이용하여 일반 사용자가 악성코드를 다운로드할 수 있도록 유도한다.


최신 보안 위협 사례를 살펴보면, 웹 또는 특정 서버에 악성코드를 다운로드하게 하는 것뿐만 아니라 특정 프로그램의 업데이트 서버를 이용하여 악성코드를 유포하는 방식도 이용되고 있다. 이는 최근의 PC용 프로그램들이 자동 업데이트 기능을 이용하여 인터넷 상에서 해당 프로그램들이 자동으로 업데이트 파일을 다운로드하게 하는 것을 악용한 것이다. 즉 업데이트 서버를 해킹하여 자동 업데이트 시 사용자도 모르게 악성코드가 다운로드되고, 자동으로 실행되어 PC가 악성코드에 감염되는 경우이다.
만약 이러한 방법을 이용해 특정 대상만 악성코드를 다운로드할 수 있게 제한을 걸어둔다면, 바로 ‘APT 공격’의 가장 기초적인 공격 준비 단계가 되는 것이다.

 


2. 악성코드 유포 시도 단계


공격자가 악성코드를 준비하는 단계가 끝나면, 그 다음 과정으로 공격자는 해당 PC가 악성코드를 다운로드하고, 실행할 수 있도록 끊임없이 유도한다. 가장 대표적인 예가 우리가 일상 생활에서 가장 많이 접하는 메일을 이용한 악성코드 유포이다. 물론 단순히 메일에 악성코드를 첨부한다면 감염률은 그리 높지 않을 것이다. 하지만 공격자는 더 많은 감염을 유발하기 위하여 사회공학적 기법을 이용한다. 예를 들어 당시 가장 큰 사회적 반향을 일으키는 화제의 키워드를 이용해 메일이나 인터넷 검색을 통해 해당 페이지를 열어보도록 유도한다. 이때 해당 페이지를 방문한 사용자 PC에는 악성코드가 다운로드되고 감염이 진행된다. 실제 국외에서 발생한 APT 공격 사례를 보면, ‘연봉 협상’과 관련한 내부 메일을 가장하여 메일을 발송한 후 내부 직원들이 그 메일을 열어보도록 유도한 일이 있었다.

 


3. 악성코드 감염 및 공격자의 침입 단계


악성코드에 감염되면, 해당 악성코드는 공격자와의 연결을 시도한다. 이후 공격자는 감염된 PC를 마음대로 조종할 수 있게 된다. 이것이 소위 좀비(Zombie) PC라고 이야기하는 것이다. 공격자는 장악한 감염 PC를 조작할 수 있는 권한을 획득하였으므로, PC의 중요 자료나 개인정보를 마음대로 가져갈 수가 있다.


하지만 APT 공격의 경우 공격자가 목표로 하는 기관 또는 기업의 주요 정보를 획득할 때까지 장악한 PC를 점진적이고 지속적으로 이용하는 것이 가장 큰 특징이다. 예를 들어 만약 장악한 PC가 내부 일반 직원의 PC라면, 이 PC에서 주요 자원으로 접근할 수 있는 또 다른 PC를 장악하는 수단으로 활용할 수 있다. 이미 알려진 ARP 스푸핑(Spoofing)이나 패킷 스니핑(Sniffing)을 통하여 내부 네트워크 상에 있는 다른 PC 정보를 획득하고, 이를 바탕으로 주요 정보/자산 관리자의 PC 정보를 획득하는 단계에 이르게 된다.
이후 관리자 PC를 획득하기 위하여 앞서 설명한 2단계인 악성코드 유포 시도를 수행할 수 있다.

이해를 돕기 위해 가상의 시나리오를 만들어보자. 공격자가 장악한 PC를 이용하여 내부 직원이 관리자에게 업무 요청 등의 메일을 보내는 형태로 침입을 시도할 때 악성코드를 다운로드할 수 있도록 한다면, 충분히 권한 관리자의 PC까지 감염시킬 수 있게 되는 것이다.

 

또한 이미 공격자의 손에 들어온 PC는 인터넷을 통하여 추가적인 악성코드를 다운로드할 수 있다. 예를 들어 이미 감염을 유발한 악성코드가 2차 보안 사고를 일으키기에 부족한 기능이 있다면, 공격자는 추가 공격 기능이 포함된 악성코드를 장악한 PC를 업그레이드할 수 있다.


특히, 앞선 예와 같이 추가적으로 다운로드한 악성코드 여러 개가 모여 비로소 실제적인 보안 사고를 일으킬 수 있는 형태인 악성코드의 모듈화가 최신 트렌드이다. 이 경우 개별적인 악성코드를 보면 일반적인 악성 행위를 하는 것으로 판단되지만, 모듈이 모이게 되면 기존에 분석되었던 위험성보다도 훨씬 높은 위험성을 가지는 악성코드로 자체 진화하는 것이다. 따라서, 이러한 악성코드의 모듈화를 통한 난독화 과정까지 진행되는 특징이 있으므로, 기존의 보안 위협 대응 체계를 무력화할 수 있는 가장 진화된 보안 위협이라고 이야기할 수 있다.

 


4. 보안 사고 단계


3단계를 통해 주요 정보 및 자산에 접근할 수 있는 권한이 획득되면, 이는 공격자가 목적한 것을 이룰 수 있는 단계에 진입한 것이다. 특히, 감염된 PC가 보안 관리자에게 노출되지 않도록 이미 장악한 PC는 악성코드의 활동을 중단시키는 형태로 은폐하는 것도 최근 APT 공격 양상의 특징이다.
4단계에 이르면 공격자는 내부 주요 정보가 저장되어 있는 DB를 파일로 백업한 후 외부로 전송할 수도 있고, 시스템 마비가 목적이라면 주요 정보 삭제 또는 시스템 장애 등을 유발할 수도 있다.

 


5. 공격 종료 단계


마지막 단계인 공격 종료는 공격자의 특성에 따라 수행할 수도 있고, 수행하지 않을 수도 있다. 스파이와 같이 완전히 은밀한 형태의 공격을 원하는 공격자의 경우에는 공격 종료 단계에서 자신의 흔적을 지울 수 있다. 반면에 협박 등 추가적인 행위를 위해서 자신의 침해 사고 행위를 노출할 수도 있다. 이때에 이르러서야 기관이나 기업에서는 침해 사고가 일어났다는 것을 비로소 인지하게 되는 것이다. 그러나 공격은 이미 종료되었으며, 대응하지 못하였다면 피해는 이미 발생한 것이다.

 

APT 공격 시나리오는 마치 한 편의 영화를 보는 것과 같이 우리가 상상했던 보안 위협 행태가 모두 종합되고 연결되는 특징이 있다. 하지만 위의 시나리오는 대부분 과거에 이미 발생한 실제 기법이며, 일부 몇 가지 항목들은 충분히 예상할 수 있는 시나리오를 가정해 첨언한 것이다.


이처럼 과거의 보안 사고가 일회성 공격에서 그치는 것에 비하여, APT 공격자는 자신이 목표한 것을 이루기 위해서 공격이 성공할 때까지 매우 많은 시도와 노력을 해서 결국에는 자신의 목적을 이루는 것이 특징이다. 따라서, 공격자는 한 곳에 집중할 수밖에 없으며, 역으로 이야기하자면 공격자는 타깃 공격을 수행할 수밖에 없다는 것이다.


APT 공격은 타깃 공격으로 ‘APT’ 라는 약어에서 볼 수 있듯이 과거보다 악성코드 수준이 진화되었고(Advanced), 지속적인(Persistent) 위협(Threat)이다.

 

지금까지는 APT 공격이 어떤 식으로 진행되는지에 대해 알아보았다. 다음 호에서는 안철수연구소의 보안 솔루션을 이용한 APT 공격 대응 방법에 대해 자세히 살펴보기로 한다.@

  • 안철수연구소 로고
  • 제품마케팅팀 김우겸 과장
  • Facebook에 공유하실 수
    있습니다.

  • Twitter에 공유하실 수
    있습니다.

  • Linked in

    Linked in에 공유하실 수
    있습니다.

  • 붙여넣기

    블로그나 게시판에 붙여넣기 하실
    수 있습니다.

지금 마케팅 안내 수신 동의하고
선물 받아가세요!

이벤트 내용 더 보기
세미나/제품/이벤트 안내

더 알아보기

개인정보 수집 및 이용 동의서

선물 발송을 위해 아래와 같이 개인정보를 수집 및 사용합니다.
동의를 거부할 수 있으나, 동의 거부 시 이벤트 참여가 불가능 합니다.

  1. ㆍ수집 항목 : 이름, 휴대전화번호
  2. ㆍ수집 목적 : 참여자 중복 확인, 공지 발송, 경품 발송
  3. ㆍ보유기간 : 이벤트 종료 후 지체 없이 파기(단, 당첨자의 경우 경품 배송 후 30일)
  4. ㆍ경품 발송 위탁: 쿠프마케팅 (모바일상품권 발송업체)
참여하기
닫기