APT 공격, 우리는 어떤 대응이 필요한가

APT 공격형 랜섬웨어의 위협

APT(Advanced Persistent Threat)는, 개인 및 정부기관 또는 기업을 상대로 지속적인 해킹 시도를 통해 개인정보나 중요 데이터를 유출하는 형태의 공격을 의미합니다. 좀 더 쉽게 이야기해보면, 해커가 특정 타깃을 정해두고 계획적 접근 후 일정시간 지켜보다가 보안이 취약한 타이밍에 모든 데이터를 유출 해가는 것입니다.

국책사업 포상을 사칭한 APT 공격 방식의 예제

대부분의 개인 및 기업에서 APT 공격을 받았을 경우, 언제 어떤 경로로 악성코드가 침입하고 활동했는지 파악하는 것은 매우 어렵습니다. 초기부터 치밀하게 계획 후 접근하여 취약한 곳을 관찰하다가 공격하기 때문입니다. 내부 직원의 개입까지 있다면 피해를 방지하는 것이 더더욱 어려워집니다.

국내에서도 내부 직원을 통해 APT공격이라고 할 수 있는 피해를 입은 사례는 여러차례 보도되었으며, 이러한 문제가 발생했음에도 보안을 방치하는 기업은 여전히 존재하고 있습니다. 대표적인 APT 공격의 내부자 피해사례로는 보안관계자라면 익히 알고있을 법한 2009년 7.7 디도스 사태와, 3.4 디도스 사태, 그리고 2011년 ‘은행 전산망 마비 사태’가 있습니다. 

특정 은행 전산망 장애 사태 공격 시나리오 설명(7.7 디도스 공격과 동일한 집단 소행으로 추정) [이미지 출처: 머니투데이]

최근 APT 공격의 또 다른 형태인 랜섬웨어(WannaCry)가 크게 이슈화 되기도 했습니다. 이 랜섬웨어는 데이터를 가져가는 목적보다 데이터를 빌미로 돈을 요구하는 형태의 악성코드지만, 최근 APT 형태의 공격으로 특정 기업을 타깃 삼아 악성코드를 배포하고 감염된 대상자(기업)의 경우 업무가 마비되는 수준의 치명적인 문제를 유발하기도 하였습니다.

1분기 악성코드 동향 분석 통계[출처: KISA 홈페이지 사이버 위협 동향 보고서(2017 1분기 내용 중)

APT 공격 악성코드 유형으로 볼 수 있는 랜섬웨어는 2017년 1분기 위협 악성코드 1순위로 등극할 만큼 규모가 커지고 있습니다. 랜섬웨어는 개인이 감염되었을 때 보다 기업이 감염되었을 때 파장이 말할 수 없는 수준으로 커집니다. 기업의 주요 문서 데이터가 암호화 되어 사용이 불가능하거나, 사용자들에게 제공되는 서비스 전체에 장애가 발생하게 되면서 직접적인 감염이 되지 않은 사용자들도 결국 피해를 보게 되는 것입니다.

최근 발생한 APT 공격형 랜섬웨어 감염으로 피해 입은 사례는 아래와 같습니다.

특정 영화관 상영관 50곳이 워너크라이에 감염되어 상영관 스크린에 랜섬노트(랜섬웨어 협박 메시지)가 노출 된 (링크) 사례가 있습니다.

 

영화관 감염 사례의 경우 기업이 주 피해 대상자긴 하나, 실제 영화 관람을 하려고 영화관을 방문한 사람들은 티켓 표기 시간 약 10여분의 시간을 지루하게 기다려야 했습니다. 

위 사례를 보고 당사자가 아닌 경우 ‘뭐 저런일을 가지고 호들갑이지?’ 하고 생각할 수 있습니다. 하지만 APT 공격이 인터넷 광고 서버가 타깃이었다면, 사용자들은 광고만 클릭해도 감염될 수 있는 악성코드입니다. 따라서 인터넷을 사용하는 일반 사용자에게도 충분히 일어날 수 있는 상황임을 인지해야 합니다.

피해사례를 확인했으니 이제 아래 질문들을 고민해보겠습니다.

[집에서..]

악성코드에 감염되지 않기 위해 나는 어떤 조치(예방)를 취해야 좋을까? 

현재 내 PC와 스마트폰은 악성코드로부터 안전한가? 

[회사에서..]

회사의 중요 정보를 유출 방지를 위해 어떤 노력을 해야할까?

회사 PC에 악성코드가 감염되지 않으려면 어떻게 하는 것이 좋을까?

질문에 대한 답변은 무엇이고 내 PC/스마트폰 환경에는 얼만큼 대비가 되어있는지 쉽게 답변이 떠오른다면 여러분은 이미 악성코드에 대한 위험을 인지하고 대응할 준비가 되어있는 사람입니다. 반대로, 전혀 답이 떠오르지 않고 모르겠다면 여러분은 지금 당장 악성코드에 감염되어도 이상하지 않습니다.

먼저 개인이 스스로 PC/스마트폰 환경에서 할 수 있는 예방법으로는 아래와 같은 것들이 있습니다. 이미 누구나 알고있는 기본적인 항목이지만 한 번씩 되짚어 보겠습니다.

[개인]

1. 출처가 명확하지 않은 메일 열람 시 주의하기.

2. 중요 데이터는 항상 백업해두기!

3. 주요 개인정보나, 회사 기밀 유출하지 않기.

[PC]

1. 윈도우 업데이트 최신으로 유지하기(특히 보안업데이트!)

2. 백신 프로그램 최신버전으로 유지하고 주기적으로 검사하기.

     

[스마트폰]

1. 보안에 취약한 WiFi 접속하지 않기

2. 출처가 불분명한 URL 링크 연결하지 않기

3. 스마트폰에 중요 개인정보 저장하지 않기

4. 보안 앱을 통한 스팸/스미싱 수신 감지하기

당신이 기업의 보안 담당자라면 우리 회사의 중요한 데이터를 지키기 위해 어떻게 대응 해야할까요? 사내 공지를 통해 예방법을 안내해주는 것도 좋지만, 치명적인 피해를 입을 수 있는 만큼 회사에서는 보안 솔루션을 도입하여 약간의 강제성을 부여하는 것도 나쁘지 않을 것입니다. 

기업에서 보안을 손쉽게 통합적으로 관리할 방법은?

기업에서는 사내 직원들을 대상으로 보안에 대한 인식을 심어줄 수 있도록 주기적인 교육이 필요합니다. 더불어 많은 직원들의 PC와 서비스하는 서버들을 항상 보안 취약점에서 벗어날 수 있게 대비해야 합니다. 

기업 보안 관리자가 사내에서 활용하는 PC들을 조금이나마 수월하게 관리하기위한 방법으로, 기업용 통합 관리 솔루션 도입을 하는 것도 좋은 방법일 것입니다. 

 

기업용 통합 관리 솔루션 ASM [이스트시큐리티 홈페이지]

기업용 통합 보안 관리 솔루션의 하나인 ASM은 직원들의 PC에 설치 된 백신 관리 및 PC 취약점 점검과 더불어 PMS(패치 관리 솔루션)를 제공합니다. ASM이라는 하나의 솔루션을 통해 백신 관리, 취약점 관리, 패치(ex.윈도 업데이트)관리를 연동하여 한번에 활용할 수 있습니다. PC 환경 보안이 취약한 사용자를 백신 설치 및 취약점 점검을 통해 업데이트를 수행하게 하는 등의 작업이 가능합니다.

위와 같은 구성을 통해 APT 공격 대응방안의 하나인 EDR(Endpoint Detection and Response)관점의 통합 보안 솔루션 구성이 가능합니다. EDR에 대한 이해를 돕기 위해 간단한 예를 들자면 PMS와 같은 패치 관리 프로그램을 통해 사전에 취약점을 차단하고 예방(Prevention)합니다. 이 후 엔드포인트에서 받게 되는 공격을 방어 및 탐지(Detection) 하여 대응(Response)하는 과정을 반복적으로 수행하게 됩니다. 앞에서 수행한 행위를 기반으로 문제되는 부분을 한눈에 확인 가능하도록, ASM 시스템 현황을 통해 가시성을 확보하여 보안 사각지대 해소에 보탬이 된다고 보면 됩니다.

EDR 관점의 통합 보안 솔루션 구성

EDR 관점으로 ASM 통합보안 솔루션을 구성했다면 지난 5월 한참 이슈였던 WannaCry(워너크라이) 랜섬웨어의 경우 PMS(패치관리시스템)를 통해 사전예방이 가능했을지도 모릅니다. 

워너크라이는 Windows SMB 원격 코드 실행 취약점을 통해 악성코드를 유포하는 방식으로, 일반적인 악성코드 감염과 다르게 사용자가 파일을 다운로드 하는 행위를 하지 않아도 감염되는 형태입니다. MS에서는 이미 2017년 3월 정기 보안업데이트(MS17-010)를 통해 취약점 패치를 진행했으나, 윈도우 보안업데이트가 최신으로 유지되지 않은 사용자들이 주로 감염된 것으로 확인되었습니다. 

위와 같은 사례 예방을 위해 EDR 관점의 통합 솔루션을 도입하여 관리&통제 한다면 APT 공격방식의 악성코드에 대비가 가능합니다. 

물론 모든 기업과 사용자가 윈도우 업데이트를 최신으로 한다고 해서 악성코드의 위협으로부터 완벽하게 벗어나는 것은 아닙니다. 개개인이 얼마나 철저한 보안의식을 가지고있고 대비 했는지에 따라 악성코드로부터 공격당했을 때 빠른 대처가 가능하며 심각한 피해를 입지 않을 수 있는 것입니다.

악성코드 피해 최소화 방법과 앞으로의 대비

악성코드로부터 공격을 당했을 때 피해를 최소화 하기 위해서는 위에서 여러차례 언급한 바와 같이 취약점을 수시로 보완하고, 데이터를 백업&관리하는 것이 최고의 방어라고 볼 수 있습니다. 

이렇게 보완을 했음에도 악성코드에 감염이 된 경우라면 ‘KISA 인터넷보호나라 & KrCERT (https://www.krcert.or.kr/)’에 신고하고 다른 환경까지 감염되지 않도록 네트워크를 차단하는 것을 권장합니다.

기존에도 APT 공격유형의 악성코드는 꾸준히 존재하고 있었으나, 올해의 랜섬웨어 사태로 인해 평소 보안에 관심 없던 많은 사람들이 직접 악성코드에 감염 될 수 있다는 인식을 가지게 되었습니다. 이런 악성코드는 앞으로도 계속 변종으로 확산되거나, 새로운 형태의 지능적인 공격을 시도하고 있는 만큼 인식을 가졌을 때 대비를 확실히 한다면 심각한 피해는 입지 않을 수 있을 것입니다.

이미 지금도 APT 공격 악성코드로 볼 수 있는 랜섬웨어의 다양한 변종으로 피해를 입고있는 사례가 발생하고 있습니다. 지금 이순간에도 여러분이 PC나 스마트폰을 통해 클릭한 인터넷 광고, 메일, 링크 하나 만으로도 랜섬웨어에 노출되어 있음을 알아야 합니다. 

APT 악성코드, 더이상 방치하면 안될 주요 보안 이슈로 철저한 대비가 필요합니다.

기고 작성: Endpoint개발팀 오보람 대리