[김관용기자] 특정 기업을 노리는 사이버 표적 공격이 기업 규모에 상관 없이 광범위하게 확산되는 가운데 시만텍이 표적 공격을 포함한 최신 보안 위협에 대해 적극 대응해야 함을 강조하고 나섰다.
이는 최근 모바일 기기 사용자의 확대와 기업 클라우드 및 가상화 도입의 확산, 디지털 정보 급증과 같은 메가 트렌드의 영향으로 IT 환경이 급변하면서 보안 위협 환경 또한 더욱 복잡하게 진화하는 데 따른 것.
이에따라 효과적인 기업 보안 기술을 적용하기가 점점 더 어려워지고 있고 특정 기업이나 조직 네트워크에 침투, 활동 거점을 마련한 후 기밀정보를 수집해 지속적으로 빼돌리는 은밀한 형태의 '지능적 지속위협(APT, Advanced Persistent Threat)'이 새로운 보안 위험으로 대두되고 있다.
이 같은 APT 공격은 불특정 다수가 아닌 특정한 목표를 겨냥한다는 점에서 기존 해킹과 구별된다. 전형적인 표적 공격과 달리 표적으로 삼은 조직 네트워크에 침투해 오랫동안 잠복하면서 기밀정보를 빼내도록 설계돼 있다.
시만텍은 APT 공격이 ▲고도의 지능적인 보안 위협을 동시다발적으로 이용하고 ▲목표 시스템에 활동 거점을 마련한 후 은밀히 활동하면서 보안 공격들을 지속적으로 가하며 ▲주로 국가간 첩보활동이나 기간시설 파괴 등 공격 동기가 뚜렷하고 ▲공격 대상도 주로 정부 기관이나 국가 핵심 기간시설, 방위 산업체 등을 노린다는 점에서 일반적인 표적 공격과 차별화되며 더욱 위험하다고 강조했다.
시만텍에 따르면 일반적으로 APT 공격은 ▲표적으로 삼은 조직으로의 침투 ▲침투 후 정보 검색 ▲목표한 정보 수집 및 ▲정보 유출의 4단계로 실행된다.
1단계 침투에선 일반적으로 표적 공격시 해커들은 훔친 인증정보, SQL 인젝션, 표적 공격용 악성코드 등을 사용해 목표로 삼은 기업이나 조직의 네트워크에 침투한다. APT도 이러한 공격 방법들을 사용하지만 공격 성공률을 높이기 위해 사전 공격 목표 분석, 사회 공학적 기법 활용, 제로데이 취약점 및 루트킷 적용, 수동 공격 등을 이용한다.
한번 시스템의 내부로 침입한 공격자는 기관 시스템에 대한 정보를 수집하고 기밀 데이터를 자동으로 검색한다. 침투로 인해 보호되지 않은 데이터나 네트워크, 소프트웨어나 하드웨어, 또는 노출된 기밀 문서, 추가 리소스 등의 경로가 탐색될 수 있다. 대부분의 표적 공격은 기회를 노려 공격을 하지만, APT 공격은 보다 체계적이고 탐지를 회피하기 위해 엄청난 노력을 기울인다.
수집 단계에서 보호되지 않은 시스템에 저장된 데이터는 즉시 공격자에게 노출된다. 또한, 조직 내의 데이터와 명령어를 수집하기 위해 표적 시스템이나 네트워크 액세스 포인트에 루트킷이 은밀하게 설치될 수 있다.
제어는 APT 공격의 마지막 단계로, 불법 침입자들은 표적 시스템의 제어권을 장악한다. 이 단계를 통해 공격자들은 지적 재산권을 포함해 각종 기밀 데이터를 유출하며, 소프트웨어 및 하드웨어 시스템에 손상을 입힐 수도 있다.
시만텍은 "APT 공격을 막기 위해서는 먼저 기존의 보안 인프라가 갖는 한계를 넘어서 정보 주변을 둘러싼 시스템이 아닌 정보 자체를 보호하는 정보 중심의 보안 전략을 고민해야 한다"고 강조했다.
정보 중심의 보안 전략은 보호해야 할 중요 정보가 어디에 저장돼 있고, 누가 접근 가능한지, 어떻게 보호되고 있는지를 파악해 '디지털 정보 지도'를 작성하는 것이다. 이를 위해 보호해야 할 정보가 무엇인지 정의(Define)하고, 검색(Discover)하고, 해당 정보의 사용을 통제(Control)하는 정보보호 프로세스를 마련해야 한다.
이와 함께 시만텍은 ▲평판(reputation) 기반 보안 기술 ▲데이터 유출방지(Data Loss Prevention) 솔루션 ▲보안 정보 및 이벤트 관리(SIEM) ▲정보저장소 보안강화 ▲애플리케이션 계층에서 위험한 파일 형식 차단 등 다각도의 정보보호 체계를 갖춰야 한다고 제안했다.
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기