보안 이슈

AhnLab 보안 전문가의 심층분석! 보안 이슈 정보를 전해드립니다.

[Special Report] 안철수연구소, APT 대응의 모범 답안을 제시하다

  • Facebook에 공유하실 수
    있습니다.

  • Twitter에 공유하실 수
    있습니다.

  • Linked in

    Linked in에 공유하실 수
    있습니다.

  • 붙여넣기

    블로그나 게시판에 붙여넣기 하실
    수 있습니다.

  • 안철수연구소
  • 2011-11-01

최첨단 사이버 전쟁의 저격수 APT, 과연 막을 수 있나?


지능형 타깃 위협인 APT(Advanced Persistent Threat)는 현존하는 보안 위협 가운데 가장 강력한 존재로 여겨지고 있다. APT 공격은 타깃 기업이나 기관 등 조직의 네트워크에 은밀하게 침투해 일정 기간 동안 지속적으로 공격을 가하기 때문에 사전에 탐지하고 대응하기가 어렵다. 따라서 이러한 APT 공격을 방어하려면 APT 공격이 어떻게 이루어지는지를 알아야 한다. 또한 각 단계별 전방위적인 대응 체계가 갖춰져야 한다. 안철수연구소에서는 외부에서 들어오는 공격과 내부에서 유출되는 것을 동시에 감시 및 대응하는 융합 보안 체계 구축을 통한 APT 방어 종합 대책을 제안한다.


지난 월간 안 10월호에서는 APT 관련 사고 분석 결과를 토대로 한 상세한 APT 공격 시나리오를 소개했다. 이번에는 안철수연구소의 솔루션으로 APT 공격을 어떻게 방어할 수 있는지 살펴보자.

 

 

공격 준비 단계의 대응
- End-Point 제품군: V3 Lite, V3 Internet Security, SiteGuard, SiteCare Enterprise, TrusWatcher
- Network 제품군: TrusGuard

 

우선 공격자는 악성코드 유포지로 활용할 서버를 확보하기 위해 외부 불특정 서버를 해킹하여 악성코드를 업로드한다. 또는 공격자가 직접 서버를 만들어 유포지로 활용할 수도 있다. 따라서, 관리자는 악성코드가 웹 등을 통하여 유입되는 것을 인지하고, 사용자들이 악성코드를 유포하는 웹 서버에 접근하지 못하도록 조치해야 한다.


안철수연구소는 V3 라이트(V3 Lite) 제품을 이용하여 새로운 악성 파일에 대해 정보를 수집하고, ASEC/CERT의 분석 과정을 거쳐 악성 여부를 진단한다. 이러한 클라우드 보안 인프라는 7ㆍ7 DDoS나 3ㆍ4 DDoS와 같은 대형 보안 사고를 통해 이미 검증받은 바 있다.

 

또한 이렇게 분석된 악성코드가 어느 URL에서 다운로드되었는지에 대한 정보까지 도출한다. 이 정보를 바탕으로 사이트가드(SiteGuard) 악성코드를 유포하는 URL을 차단해준다.


개인 사용자의 경우에는 V3 라이트 및 사이트가드를 이용하여 악성코드와 유해 URL에 대한 접근을 방지함으로써 안전
하게 인터넷을 사용할 수 있다.


 

기업 사용자 역시 기업용 제품인 V3 IS(Internet Security) 8.0을 통하여 신종 악성 파일 감염을 방지할 수 있다. 아울러 네트워크 보안 제품인 트러스가드(TrusGuard)나 트러스와처(TrusWatcher) 네트워크 트래픽 기반의 악성 URL 접근에 대한 탐지 및 차단 기능을 제공한다. 이를 통해 웹에서 유포되는 악성코드로 인한 피해를 미연에 방지할 수 있다.


물론, 일반 인터넷상의 불특정 서버뿐만 아니라 각 기관과 기업이 대외 인터넷 서비스용으로 사용하는 서버가 악성코드 유포지가 될 수도 있다. 이 같은 각 기관/기업의 서버에 대한 침해 사고를 인지하기 위해 웹 보안 취약점을 방어하는 웹 방화벽을 이용할 수 있다. 하지만 실제 웹 페이지 변조 및 악성코드 업로드 등에 대해 빠르게 탐지하고 대응하기 위해서는 ‘웹쉘 관제 서비스’나 ‘사이트케어(SiteCare)’ 제품을 이용하여 서버의 침해 여부를 조기에 탐지하고 대응하는 것이효과적이다.

이와 같은 방법으로 악성코드 유포 준비 단계에서 선대응을 할 수 있다. 이는 중앙에서 모든 정보를 수집/분석하고 대
응책을 배포하는 클라우드 기반의 보안 위협 대응 전략이 있기 때문에 가능한 것이다.

 

*안철수연구소의 ACCESS(AhnLab Cloud Computing E-security Service) 전략 하에 빠르고 정확한 보안 위협 인지

 

악성코드 유포 시도 단계의 대응
- End-Point 제품군: V3 Lite, V3 Internet Security, TrusWatcher, TrusLine
- Network 제품군: TrusGuard

 

공격자는 각 기관 및 기업의 내부 직원 PC로 악성코드가 유입되도록 끊임없이 시도한다. 악성코드는 보통 인터넷을 통해서 유입된다. 즉 악성코드 유포 시도를 방어하려면, 인터넷을 통하여 파일이 유입되는 것을 상시 모니터링하고 악성 파일에 대해 명확하게 판단할 수 있어야 한다. 안철수연구소의 네트워크 통합 보안 제품인 트러스가드는 인터넷 게이트 웨이 구간에 설치되며 자체 탑재된 TS 엔진을 통하여 파일의 악성 여부를 판별할 수 있다. 이 TS 엔진은 안철수연구소의 클라우드 보안 시스템으로부터 최신 시그니처를 업데이트해 최신 악성 파일을 탐지하고 내부 유입을 차단할 수 있다.

 

이 과정에서 업데이트되는 정보는 이미 알려진 악성코드에 관한 것이다. 하지만 업데이트 전 단계의 짧은 순간에도 신종 악성코드가 유입될 수 있다. 새로운 시그니처 업데이트까지 약간의 시간 동안 제로데이(Zero-Day) 공격이 발생할 수 있다. 따라서 시그니처가 업데이트되기 전에도 자체적으로 먼저 악성코드를 분석하고 즉시 대응할 수 있는 새로운 형태의 제품이 필요하다. 그러한 역할을 수행하는 솔루션이 바로 ‘트러스와처(TrusWatcher)’이다.


트러스와처는 인터넷을 이용하여 내부로 유입되거나 외부로 전송되는 파일을 네트워크 트래픽의 미러링 기반으로 항시 모니터링할 수 있다. 이러한 구성 방식을 통하여 웹, FTP, 메일 등으로 전송되는 모든 파일에 대해 정상과 악성 여부를 판별할 수 있다. 또한, 알려지지 않은 새로운 악성 파일이 존재할 경우에는 트러스와처 ZPX에 자체 탑재된 가상 머신을 통하여 파일을 직접 실행하여 악성 여부를 진단하는 파일 행위 기반 분석을 수행한다. 이 과정에서 악성으로 진단될 경우, 관리자는 APC 어플라이언스와 APC 에이전트를 이용하여 해당 파일을 제거하거나 적절한 대응 조치를 할 수 있다.

 

이와 같이, 네트워크 기반에서는 트러스가드나 트러스와처가 악성코드를 처리할 수 있다. 하지만 PC에 악성코드가 생성된 경우에는 안티바이러스 제품인 V3 IS(Internet Security)가 그 역할을 담당한다. V3 IS 8.0은 ASD(AhnLab Smart Defense)와 연계해 새로운 파일에 대한 실시간 질의를 통하여 해당 파일의 악성 여부에 대한 정보를 업데이트한다. 이처럼 안철수연구소의 클라우드 보안 인프라에서 수집/분석한 새로운 파일 정보에 대해 연동이 가능하므로, 엔드포인트 레벨에서도 이전보다 더 빠른 악성코드 대응이 가능하다.


일반 업무용 PC가 아닌 산업 시설이나 기반 시설의 특수한 환경에서 사용되는 PC에는 특수한 목적으로 이용되는 프로그램 이외에는 파일의 생성/설치 및 실행을 차단하는 조치가 필요하다. 이 때에는 ‘트러스라인(TrusLine)’과 같은 화이트리스트 기반의 보안 솔루션이 적절한 해결책이 될 수 있다. 트러스라인이 설치된 환경에서는 허용된 파일 외에는 생성조차 되지 않기 때문에 안전한 환경을 만든다.

 

▲ TrusWatcher
내•외부로 유입•출되는 파일을 네트워크 단에서 악성 여부 진단

 

 

▲ TrusGuard
외부로부터의 불법적인 접근 제어 및 해킹 시도 탐지•차단

 

 

악성코드 감염 및 공격자침입 단계 의 대응
- End-Point 제품군: V3 Internet Security, TrusWatcher, TrusLine
- Network 제품군: TrusGuard
- Operation: 네트워크 트래픽 통제 프로세스(*컨설팅)

 

악성코드에 감염되면, 해당 악성코드는 공격자와의 연결을 시도하거나 새로운 공격 파일을 업데이트한다. 따라서, 이미 감염됐다면 새로운 악성 파일이 추가 감염되는 행위나 공격자와의 연결을 차단할 수 있어야 한다. 이런 경우의 대응책을 알아보자.


첫째, 악성코드의 추가 유입을 방지하기 위해서는 ‘악성코드 유포 시도 단계’에서 살펴본 바와 같이 트러스가드, 트러스와처, V3 제품군 등을 이용하여 기본적인 조치를 해야 한다.

 

이 과정에서 주의할 사항은 악성 파일의 특성과 APT 공격의 전체 흐름에 대해 제대로 파악해야 한다는 것이다. 즉, 해당 악성 파일이 단순한 일회성 악성 파일이라고 인지한다면, APT 공격의 전체 흐름 중 하나만 인지하는 오류를 범하는 것이다. 따라서 특정한 악성 파일이 탐지되었다면, 해당 PC가 과거에는 어떠한 파일을 다운로드했으며, 네트워크 트래픽 기반으로 탐지된 행위에 어떠한 것들이 있는지에 대한 로그를 취합해서 전반적인 모니터링을 할 필요가 있다.

 

트러스와처는 파일의 정상/악성 여부뿐만 아니라 네트워크 트래픽 기반으로 탐지되는 유해 URL 접근 정보, C&C 접근 정보, DDoS 공격 트래픽 정보 등을 동시에 모니터링할 수 있다. 따라서 악성 파일이 유입된 모든 로그를 모니터링할 수 있으므로, APT 공격에 활용될 가능성이 높은 클라이언트 PC를 도출할 수 있도록 도움을 준다. 만약 이러한 솔루션이 없다면 네트워크 트래픽 정보와 악성 파일 정보의 솔루션을 통합하여 모니터링하고 관리할 수 있는 체계가 필요하다.

 

둘째, 공격자와의 연결을 탐지하고 방지할 수 있어야 한다. 감염된 내부 PC는 두 가지 형태로 외부의 공격자와 연결된다. 우선, 외부에서 내부 PC로 직접 접근할 수 있도록 감염 PC에 세션을 열어두는 기법이다. 이를 방지하는 방법은 간단하다. 내부 PC가 세션이 연결 가능하도록 되어있더라도, 네트워크 기반 제품인 트러스가드나 일반 방화벽 등에서 외부로부터 내부로의 직접 접근을 차단하는 기본적인 정책을 설정하고 있으면 안전하다.


하지만 이 경우를 회피하기 위하여 공격자는 외부에서 내부로 접근하는 것이 아니라, 내부에서 외부로 접근하는 연결을 이용하여 다시 내부로 접근하는 방식을 취하고 있다. 이 때 이용되는 것이 C&C 서버이다. 이에 대응하기 위해서는 이미 알려진 C&C 서버 차단 등의 방식은 적절하지 않다. 공격자는 이미 알려진 C&C 서버보다는 새로운 서버를 이용하여 C&C 서버를 이용할 가능성이 더 높다. 따라서, 내부에서 인터넷으로 나가는 트래픽에 대해서 관리하는 내부 프로세스체계가 필요하다. 즉, 지정된 프로토콜만 인터넷으로 사용하고 직접 인터넷으로 접근하는 것이 아닌 내부 프록시를 통하여 인터넷에 접근하는 등의 보안 조치를 해둔다면, 외부 접근 트래픽에 대한 최소한의 모니터링 및 관리가 가능하다.


이를 기반으로 하여 사용 가능한 인터넷 트래픽만 허용하는 등의 통제까지도 가능하다. 물론 내부 직원의 인터넷 사용에 제약이 생겨 불편할 수 있다. 하지만 이는 보안 조치 강화라는 이점을 가져올 수 있으므로, 보안 업계에서는 트래픽 관리 체계 구축을 기본적인 권고 사항으로 하고 있다.

 

 

▲ TrusLine

산업 시설의 제어 시스템에서허용되지 않은 파일 생성 및 실행 차단

 

 

보안 사고 단계의 대응
- End-Point 제품군: TrusZone, TrusWatcher, TrusLine, V3 Internet Security
- Network 제품군: TrusGuard
- Operation: 내부 트래픽 통제 정책(*컨설팅) 및 운영 프로세스

 

▲ TrusZone

업무망과 인터넷망을 분리, 인터넷을 통한 공격 차단 및 내부 정보 유출 방지

 

 

보안 사고는 공격자가 장악한 PC를 통하여 내부의 2차, 3차 침해 사고로 이어져 주요 정보 및 자산이 탈취되는 피해를 불러온다. 따라서 2차, 3차 침해 사고 및 내부 네트워크를 통한 감염 PC의 전이 과정에 대응하기 위해서는 위에서 언급된 모든 보안 조치가 필요하다. 특히 내부 프로세스의 확립이 더 중요하다.


악성코드의 추가 유입이나 공격자 연결은 대체로 인터넷을 통하여 이루어진다. 인터넷을 통한 연결이 내부 네트워크로 즉시 이어질 수 있는 구조라면, 공격자에게 모든 것을 내어줄 수 있는 위험이 있다. 따라서 인터넷 트래픽과 내부 업무용 트래픽을 분리할 필요가 있다. 이때 적절히 활용될 수 있는 것이 망 분리 솔루션인 ‘트러스존(TrusZone)’이다. 트러스존은 한 대의 물리적인 PC에서 내부 업무용 PC 영역과 인터넷용 PC 영역을 논리적으로 구분해 둠으로써, 인터넷을 통한 내부망 접근을 미연에 차단한다. 물론, 네트워크 트래픽이 구분되지 않으면 트래픽 스니핑을 이용하여 인터넷용 PC 영역에서도 내부 업무용 PC의 네트워크 트래픽이 유출될 수 있다. 하지만 트러스존은 네트워크 트래픽 분리를 담당하는 네트워크 어플라이언스인 트러스존 VTN 장비를 활용하여 네트워크 트래픽까지도 논리적으로 분리해 더욱 안전하다.


이러한 보안 솔루션뿐만 아니라 기본적으로 자원 접근 권한이나 인증은 필수 요소로 구축되어 있어야 한다. 더 나아가 내부 네트워크의 외부 네트워크 접근 정책을 수립하여, 업무 시간 중에만 외부로 접근하는 것을 차단하는 등의 세밀한 정책도 요구된다. 일반적으로 외부로 정보를 유출할 때에는 감염 PC를 공격자가 조작하여 유출하므로, 실제 사용자가 없는 시간을 노릴 수 있다. 따라서, 비업무 시간 중에 외부로의 접근 또는 자료 전송 등에 대한 것을 사전에 방지할 수 있는 내부 통제 정책이 필요하다.


위와 같은 엔드포인트, 네트워크 레벨의 보안 솔루션과 함께 내부 트래픽 및 접근 제어 정책이 수립되고, 이를 바탕으로 대응 프로세스가 구축된다면, 그 다음 단계인 공격 종료 단계까지 이어지기가 매우 힘들어진다. APT 공격은 기존의 보안 사고 유형이 결집된 형태이다. 따라서 기본적인 보안 조치를 충실히 수행하고, 이를 통합적으로 모니터링하며, 또한 내부 프로세스가 명확히 확립될 때 비로소 APT 공격에 대한 대응이 가능할 것이다.@

  • 안철수연구소 로고
  • 제품마케팅팀 김우겸 과장
  • Facebook에 공유하실 수
    있습니다.

  • Twitter에 공유하실 수
    있습니다.

  • Linked in

    Linked in에 공유하실 수
    있습니다.

  • 붙여넣기

    블로그나 게시판에 붙여넣기 하실
    수 있습니다.