실시간
뉴스

딜라이트닷넷

[미리보는 NES 2012 ①] APT공격, 막을 수 있다

APT, 클라우드, 모바일. 지난해 IT시장에서 가장 뜨거운 관심을 받았던 키워드다. 특히 지난해에는 농협, SK커뮤니케이션즈, 넥슨 등의 기업들이 개인정보를 탈취당하는 사고가 잇달아 발생하면서 APT에 대한 불안감과 관심이 급등하기도 했다.


APT에 대한 관심이 높아지자 덩달아 ‘개인정보보호’에도 관심이 쏠리고 있다. 최근 국내에서 발생한 APT 공격이 대부분 사용자의 개인정보 탈취가 목적이었기 때문이다.

클라우드컴퓨팅은 오래전부터 시장의 이목을 집중시킨 키워드다. 이미 많은 기업들이 클라우드컴퓨팅 기술을 기반으로 한 IT환경을 구축하고 있지만 예상했던 것 만큼 빠르게 확대되고 있지는 않다. 이는 클라우드컴퓨팅의 ‘보안’의 무결성이 아직까지 확립되지 않았기 때문이다.

스마트폰, 태블릿PC의 등장은 기업의 업무환경도 변화시켰다. 개인 소유의 디바이스를 기업 업무에 활용하는 이른바 BYOD(Bring Your Own Device) 시대가 성큼 다가온 것이다. 기업의 입장에서 BYOD는 비용절감, 업무효율성 증가와 같은 이득을 얻을 수 있다. 그러나 막상 BYOD를 도입하려고 하는 기업은 아직까지 많지 않다.

클라우드컴퓨팅과 마찬가지로 기업 내부보안에 대한 확신이 서지 않기 때문이다. 개인의 디바이스를 통제하지 못한 채 BYOD를 도입한다면 보안에 대한 위협은 커질 수 밖에 없다.

<디지털데일리>는 오는 19일 개최하는 차세대 보안 세미나 ‘NES 2012’(www.ddaily.co.kr/seminar)에 앞서, 신기술 등장과 함께 증가한 보안위협을 살펴보고 이에 대응할 수 있는 다양한 방법과 해결과제를 4회에 걸쳐 짚어볼 계획이다.<편집자주>


<목차>

①APT 공격, 이제는 막을 수 있다
②BYOD 시대, 보안전략은 어떻게 세울까?
③클라우드 대세론?…보안은 이렇게 해결하자
④개인정보보호, 결국은 엔드포인트에서 해결해야

[디지털데일리 이민형기자] 지난해 국내 IT시장을 들썩이게 만들었던 APT(지능형지속가능위협) 공격이 올해에는 더욱 증가할 것으로 예상되면서 대응 솔루션에 대한 수요가 증가하고 있다.

최근까지 ‘APT 공격은 막을 수 없다’라는 인식이 시장에 팽배했다. 실제 IT담당자들에게 ‘APT 공격’에 대해 질의하면 지난해 농협, SK커뮤니케이션즈, 넥슨과 같은 대기업들도 속수무책으로 당한 사례를 떠올리며 ‘막기 힘들 것 같다’라는 의견을 내놓기도 했다.

APT는 제로데이 공격과 사회공학적 기법 등 일반적인 해킹과는 다른 공격 기법을 복합적으로 사용한다. 알려지지 않은 악성코드를 사용하기 때문에 기존의 시그니처 기반 솔루션으로는 찾아내기가 힘든 것이 약점으로 꼽힌다.

APT 공격이 어떤식으로 이뤄지는지에 대한 윤곽이 잡히자 보안업계에서는 APT 공격이 진행되는 각 프로세스를 분석하고 이에 대응하는 솔루션 개발에 나섰다.


APT 공격은 ‘침투-검색-수집-유출’의 단계를 거치게 되는데 APT 대응 솔루션을 개발 중인 업체들은 우선 ‘침투’ 자체를 막을 수 있는 기술을 개발하고 나섰다.

침투 단계에서는 알려지지 않은 악성코드를 업무메일로 위장한 문서파일, 웹사이트 등에 업로드 해두고 기업 내부자가 이를 내려받아 실행하는 것을 기다린다. 얼핏보면 마이크로소트프 워드 파일이지만, 이를 열 때 악성코드가 뿌려지도록 만든 파일일 수 있다는 것이다.

흔히 악성코드나 웜들은 실행파일(Execution)에 감염돼 있다고 알려져 있으나 최근에는 pdf, doc와 같은 문서파일에도 감염될 수 있어 주의가 필요하다.

최근 APT 대응 솔루션을 내놓은 안랩, 파이어아이는 앞서 이야기한 ‘알려지지 않은 악성코드’를 잡아내는 것에 초점을 맞췄다.

가상화, 클라우드 기술을 보안에 접목하고 시그니처 기반이 아닌 행위 기반 탐지 기술을 통해 의심이 가는 파일을 분류, 해당 파일을 가상화 엔진에서 구동시켜 나타나는 현상을 토대로 침투를 미연에 방지하게 된다.

안랩은 DICA(Dynamic Intelligent Contents Analysis)라는 기술을 보유하고 있으며, 파이어아이는 VX 엔진(Virtual eXecution Engine)을 사용해 알려지지 않은 악성코드를 탐지해낸다.

하드웨어에 직접 로드돼 이상행위를 하는 파일을 걸러내는 APT 대응 솔루션도 최근 시장에서 큰 반향을 일으키고 있다.


HB개리(HBGary)의 APT 대응 솔루션은 ‘윈도의 파일 분석기능’을 신뢰하지 않는 것에서부터 시작한다.

HB개리의 디지털 DNA(DDNA) 기술은 OS단에 로드돼 동작하는 것이 아니라 실제 물리적 메모리에 올라가 보안 위협을 감지한다.

이 솔루션은 OS가 알려주는 모듈의 변화는 무시한다. 대신 메모리에서 일어나는 변화를 잡아낼 수 있도록 설계됐다. 이는 루트킷이나 악성코드가 아무리 변형되고 우회하더라도 시스템에 침입하기 위해서는 물리적 메모리를 무조건 거치게 돼 있다는 것에서 착안된 기술이다.

DDNA의 시퀀스는 시스템에서 구동되고 있는 모든 애플리케이션의 모듈 동작을 모니터링하고 관리자가 설정한 조건에 따라 심각도를 보여주고, 대처할 수 있도록 도와준다.

기존 방화벽에 APT 대응 기술을 탑재한 차세대 방화벽도 속속 등장하고 있다. 이상이 있는 웹사이트의 접근을 차단하고 애플리케이션 구동을 제어할 수 있는 방화벽이 바로 그것이다.

차세대 방화벽 시장은 해외에서 주도해나가고 있는 상황이다. 팔로알토네트웍스는 애플리케이션 인지, 제어 기반의 네트워크 방화벽을 내놓으면서 ‘애플리케이션 인지(Application Aware)’ 시장에서 급속도로 떠올랐다.

팔로알토네트웍스의 PA시리즈는 앱과 엔드유저를 단단하게 연결시킬 수 있어 IT담당자 입장에서 보다 세세한 보안정책을 수립, 시행할 수 있다. 이는 외부에서 들어오는 알 수 없는 공격을 막을 수 있는 힘도 커졌다고 생각할 수 있다.

지난해 EMC RSA에 인수된 보안업체 넷위트니스의 같은이름을 가진 솔루션 ‘넷위트니스’는 통제계층, 관리계층보다 더 높은 계층에서 각 시스템의 트래픽, 데이터, 로그 등의 상관관계와 맥락을 파악해 알려지지 않은 보안 위협에 대응할 수 있도록 했다. 빅데이터와 클라우드를 결합한 셈이다.

한편 국내에서는 어울림네트웍스, 윈스테크넷, 시큐아이닷컴에서 ‘애플리케이션 인지’ 기능과 APT 대응 기술이 탑재된 방화벽을 개발완료해 영업에 박차를 가하고 있는 상황이다.

앞으로 APT 공격과 같은 보안위협은 지속적으로 증가하겠지만, 이를 막을 수 있는 보안기술도 끊임없이 성장할 것으로 기대된다.

<이민형 기자>kiku@ddaily.co.kr

디지털데일리 네이버 메인추가
x