[미리보는 NES 2012 ①] APT공격, 막을 수 있다
[디지털데일리 이민형기자] 지난해 국내 IT시장을 들썩이게 만들었던 APT(지능형지속가능위협) 공격이 올해에는 더욱 증가할 것으로 예상되면서 대응 솔루션에 대한 수요가 증가하고 있다.
최근까지 ‘APT 공격은 막을 수 없다’라는 인식이 시장에 팽배했다. 실제 IT담당자들에게 ‘APT 공격’에 대해 질의하면 지난해 농협, SK커뮤니케이션즈, 넥슨과 같은 대기업들도 속수무책으로 당한 사례를 떠올리며 ‘막기 힘들 것 같다’라는 의견을 내놓기도 했다.
APT는 제로데이 공격과 사회공학적 기법 등 일반적인 해킹과는 다른 공격 기법을 복합적으로 사용한다. 알려지지 않은 악성코드를 사용하기 때문에 기존의 시그니처 기반 솔루션으로는 찾아내기가 힘든 것이 약점으로 꼽힌다.
APT 공격이 어떤식으로 이뤄지는지에 대한 윤곽이 잡히자 보안업계에서는 APT 공격이 진행되는 각 프로세스를 분석하고 이에 대응하는 솔루션 개발에 나섰다.
APT 공격은 ‘침투-검색-수집-유출’의 단계를 거치게 되는데 APT 대응 솔루션을 개발 중인 업체들은 우선 ‘침투’ 자체를 막을 수 있는 기술을 개발하고 나섰다.
침투 단계에서는 알려지지 않은 악성코드를 업무메일로 위장한 문서파일, 웹사이트 등에 업로드 해두고 기업 내부자가 이를 내려받아 실행하는 것을 기다린다. 얼핏보면 마이크로소트프 워드 파일이지만, 이를 열 때 악성코드가 뿌려지도록 만든 파일일 수 있다는 것이다.
흔히 악성코드나 웜들은 실행파일(Execution)에 감염돼 있다고 알려져 있으나 최근에는 pdf, doc와 같은 문서파일에도 감염될 수 있어 주의가 필요하다.
최근 APT 대응 솔루션을 내놓은 안랩, 파이어아이는 앞서 이야기한 ‘알려지지 않은 악성코드’를 잡아내는 것에 초점을 맞췄다.
가상화, 클라우드 기술을 보안에 접목하고 시그니처 기반이 아닌 행위 기반 탐지 기술을 통해 의심이 가는 파일을 분류, 해당 파일을 가상화 엔진에서 구동시켜 나타나는 현상을 토대로 침투를 미연에 방지하게 된다.
안랩은 DICA(Dynamic Intelligent Contents Analysis)라는 기술을 보유하고 있으며, 파이어아이는 VX 엔진(Virtual eXecution Engine)을 사용해 알려지지 않은 악성코드를 탐지해낸다.
하드웨어에 직접 로드돼 이상행위를 하는 파일을 걸러내는 APT 대응 솔루션도 최근 시장에서 큰 반향을 일으키고 있다.
HB개리(HBGary)의 APT 대응 솔루션은 ‘윈도의 파일 분석기능’을 신뢰하지 않는 것에서부터 시작한다.
HB개리의 디지털 DNA(DDNA) 기술은 OS단에 로드돼 동작하는 것이 아니라 실제 물리적 메모리에 올라가 보안 위협을 감지한다.
이 솔루션은 OS가 알려주는 모듈의 변화는 무시한다. 대신 메모리에서 일어나는 변화를 잡아낼 수 있도록 설계됐다. 이는 루트킷이나 악성코드가 아무리 변형되고 우회하더라도 시스템에 침입하기 위해서는 물리적 메모리를 무조건 거치게 돼 있다는 것에서 착안된 기술이다.
DDNA의 시퀀스는 시스템에서 구동되고 있는 모든 애플리케이션의 모듈 동작을 모니터링하고 관리자가 설정한 조건에 따라 심각도를 보여주고, 대처할 수 있도록 도와준다.
기존 방화벽에 APT 대응 기술을 탑재한 차세대 방화벽도 속속 등장하고 있다. 이상이 있는 웹사이트의 접근을 차단하고 애플리케이션 구동을 제어할 수 있는 방화벽이 바로 그것이다.
차세대 방화벽 시장은 해외에서 주도해나가고 있는 상황이다. 팔로알토네트웍스는 애플리케이션 인지, 제어 기반의 네트워크 방화벽을 내놓으면서 ‘애플리케이션 인지(Application Aware)’ 시장에서 급속도로 떠올랐다.
팔로알토네트웍스의 PA시리즈는 앱과 엔드유저를 단단하게 연결시킬 수 있어 IT담당자 입장에서 보다 세세한 보안정책을 수립, 시행할 수 있다. 이는 외부에서 들어오는 알 수 없는 공격을 막을 수 있는 힘도 커졌다고 생각할 수 있다.
지난해 EMC RSA에 인수된 보안업체 넷위트니스의 같은이름을 가진 솔루션 ‘넷위트니스’는 통제계층, 관리계층보다 더 높은 계층에서 각 시스템의 트래픽, 데이터, 로그 등의 상관관계와 맥락을 파악해 알려지지 않은 보안 위협에 대응할 수 있도록 했다. 빅데이터와 클라우드를 결합한 셈이다.
한편 국내에서는 어울림네트웍스, 윈스테크넷, 시큐아이닷컴에서 ‘애플리케이션 인지’ 기능과 APT 대응 기술이 탑재된 방화벽을 개발완료해 영업에 박차를 가하고 있는 상황이다.
앞으로 APT 공격과 같은 보안위협은 지속적으로 증가하겠지만, 이를 막을 수 있는 보안기술도 끊임없이 성장할 것으로 기대된다.
<이민형 기자>kiku@ddaily.co.kr
MBK, '국가핵심기술 기업' 해외매각 우려 여전히 쟁점… 고려아연 M&A, 정부 역할 필요↑
2024-12-22 19:52:35스트레스 완충자본 규제 유예… 한시름 놓은 은행권, 기업금융 고삐죌까
2024-12-22 14:06:20심각한 노인빈곤율…"면세자에 대한 환급형 세액공제 도입해야"
2024-12-22 12:38:24올해 정보보호 투자액 2조원 돌파…공시 의무화 효과 '톡톡'
2024-12-22 12:00:00