APT(Advanced Persistent Threat)라는 말에 대한 정의는 조금씩 차이가 있을 수 있지만 공통적인 것만 뽑으면 “특정한 목적을 가지고 특정한 목표(타깃)에 대해서 장시간에 걸쳐 대규모 후원을 받는 체계적인 집단에 의해서 발생하는 새로운 형태의 보안 위협”이라고 할 수 있다. 이 중에서도 ‘특정한 목적’과 ‘특정한 목표’가 APT의 성격과 위험을 알려주는 가장 중요한 말이 아닐까 싶다.

◇ APT 위협? “DDoS는 풋내기”=기존 보안 위협 중 가장 널리 알려진 건 ‘DDoS(분산서비스거부 공격)’다. 하지만 DDoS 공격은 공격 형태가 비교적 간단하고 예측가능하다. 전문적인 지식이 없는 사람도 쉽게 공격을 감행할 수 있다는 점에서 APT에 의한 고도화된 위협과는 차이가 있다.

또 기존 DDoS 공격을 수행하는 사람의 공격 목적 역시 비교적 예측 가능한 선을 넘지 않는다. 때문에 DDoS가 까다로운 공격인 건 분명하지만 기존 보안 솔루션을 이용하면 방어가 불가능하다고 말하기는 어렵다. 설사 DDoS를 막지 못해 서비스에 타격을 입더라도 피해를 본 시간만큼 예측 가능한 피해 규모 산정은 할 수 있다.

그렇다면 APT는 어떨까. 우선 APT는 DDoS와 견줘 이를 수행하는 사람 혹은 조직 자체부터 차원이 다른 체계를 갖추고 있다. 보통 APT라고 불리는 공격은 국가나 국가에 준하는 규모 체계를 갖춘 조직에 의해 발생하는 경우가 많기 때문이다.

따라서 공격 양상은 예측이 힘들고 공격 기법 역시 매우 복잡하고 정교하다. 여기에 더해 공격으로 인한 목적 또한 DDoS와 달리 예측이 어렵고 피해 규모도 비교할 수 없을 만큼 크다. APT에 의해 조직이 공격을 당할 경우 시스템 파괴, 데이터 조작과 유출 같은 엄청난 규모의 피해가 발생할 수 있기 때문에 그 위협은 더 심각하다고 할 수 있다. APT의 경우 공격자는 정확한 목표를 갖고 공격을 시작하는 만큼 조직 입장에선 이를 찾아내 선제 방어를 하는 게 사실상 더 어려워지게 되는 것이다.

◇ APT 공격, 왜 이메일인가?=APT를 수행하는 조직은 보통 사회공학적 기법을 이용해 필요한 타깃 정보를 알아낸다. 그 중에서도 가장 위험한 게 이메일이다.

ABC라는 회사 인사기록을 빼내려고 한다고 치자. 가장 먼저 시도해볼 수 있는 건 해당 회사 인사팀이나 담당자 이메일을 알아내는 것이다. 의외로 SNS나 인터넷 검색만 하면 이런 이메일 주소는 쉽게 얻을 수 있다. 목표가 정해지고 정부를 입수했다면 이메일을 받는 당사자가 관심을 가질만한 내용을 위장해 이메일을 보낸다.

이런 방식이 꽤나 진부한 공격기법이라고 느낄 수도 있다. 하지만 이 방법은 꽤나 위협적이다. RSA의 시큐어ID(SecurID) 해킹 사건도 바로 같은 형태의 이메일 공격으로 성공했기 때문이다.

글로벌기업 해킹에 사용되었던, 스피어피싱 이메일 샘플

이처럼 이메일을 이용하면 특정목적에 이르기 위한 1차 목표를 더 정확하게 규정할 수 있다. 이를 통한 맞춤형 공격도 가능해지는 만큼 조직 입장에선 이메일을 이용한 APT 공격을 더 위험하게 생각해야 한다.

◇ 이메일 APT 공격은 진화중=이메일 APT 공격 방식 중 가장 손쉽고 널리 알려진 건 악성코드가 들어간 첨부파일을 이메일에 참조해서 보내는 것이다. 앞서 언급했던 RSA 공격 역시 악성코드를 첨부한 엑셀 파일을 이메일에 곁들여 보낸 것이다.

이처럼 이메일 첨부파일을 이용한 다양한 형태의 악성코드가 나오자 글로벌 보안기업은 앞다퉈서 이메일 첨부파일을 분석할 수 있는 보안장비를 시장에 쏟아냈다. 하지만 대부분 기존 SPAM G/W나 Virus Wall과 근본적으론 차이가 없다. 알려진 공격에 대한 방어는 일부 할 수 있지만 알려지지 않은 공격을 기반 삼은 APT 위협에 대해선 대처가 어려운 부분이 있었다.

더구나 보안기업이 알려지지 않은 악성코드를 첨부한 이메일에 대한 완전한 해답을 내놓기도 전에 공격자들은 한발 더 앞서 나가는 모습을 보이기 시작했다. 첨부파일 위주 공격 시도에서 벗어나 이메일 본문 안에 악성URL을 심어서 보내기 시작한 것. 파이어아이가 발표한 2012년 상반기 위협보고서에 따르면 악성URL을 이용한 스피어피싱 공격이 얼마나 크게 늘어나고 있는지 알 수 있다.

그렇다면 이에 대한 기술적 해답은 뭘까. 글로벌 보안기업 중 일부는 평판기반 엔진 등으로 URL 정보를 확인해서 악성으로 의심되는 걸 걸러낸다. 하지만 많은 사람이 쓰지 않는다고 해서 반드시 악성URL이라고 확정하는 건 곤란한 방법이다. 평판기반 엔진은 훌륭한 참고 자료지만 판단 기준이 되기에는 애매한 측면이 있는 게 사실이다.

많은 SPAM 시스템이나 이메일 보안 시스템은 평판기반 엔진의 결과값에 상당수 의존하고 있다. 이들 시스템에 자주 포착된 공격자의 이메일 도메인 정보는 공유해서 DB화하고 차단할 수 있었다. 하지만 근래 공격자는 1회성 이메일 도메인으로 공격하는 횟수가 크게 늘어나고 있다.

위 그래프를 보면 100회 이하 공격에 쓰인 이메일 도메인이 큰 수로 늘어난 건 확인할 수 있다. 지난해와 비교하면 더 큰 폭으로 늘어나고 있다. 앞서 언급한 이메일 본문 내에 삽입하는 악성URL 링크 정보는 기존 보안 시스템으로는 판단이 어려워지고 있는 게 현실이다.

악성첨부파일도 더 다양하고 정교해지고 있다. 기존에는 상위 20개 악성첨부파일 패턴이 전체 공격에서 차지하는 비중에 상당했다. 작년 하반기에는 상위 20개 악성코드 패턴이 전체 공격에서 차지하는 비중은 50% 가까웠다.

하지만 2012년 상반기 분석 내용을 보면 상위 20개 비중이 25%까지 낮아졌다. 상대적으로 이전에는 상위 20개에 대한 빠른 패턴 업데이트만 이뤄지면 공격을 막을 확률도 높았다. 하지만 근래 들어선 악성첨부파일 형태가 다이내믹하게 변화하고 있다. 수많은 변종악성코드 형태를 실시간에 가깝게 분석해야만 조직 보안을 유지할 수 있게 된 것이다.

◇ 이메일 APT를 막을 2가지 방법=이런 이메일을 이용한 위협에 어떻게 대응해야 할까. 요즘 들어 이런 다양한 형태의 APT 위협을 탐지하기 위한 방법으로 샌드박스(Sandbox) 기술이 크게 각광받고 있다.

샌드박스 기술이 실제 사용자 레벨에 접목된 건 불과 몇 년 전이다. 이 기술의 핵심은 사용자 환경과 유사한 가상머신(VM)을 구성해 놓고 악성코드를 실제 VM에서 구동해봐서 악성코드가 시스템에 미치는 영향을 행위 기반으로 분석하는 것이다. 실제 구동을 해본 다음 행위를 분석하는 만큼 알려지지 않은 형태 공격을 탐지하는 데 좋은 대안으로 각곽받고 있는 것이다.

이메일을 이용한 스피어피싱 공격에도 이런 샌드박스 기술을 접목한 솔루션이 대안으로 부상하고 있다. 이런 VM 기술을 이용하면 이제껏 알려지지 않은 패턴을 쓰는 악성코드라도 행위 기반 분석을 통해 탐지가 가능하기 때문이다.

첨부파일은 앞서 언급한 샌드박스 응용장비로 어느 정도 대응할 수 있다. 하지만 본문 내에 포함된 URL은 어떻게 검사해야 할까. 먼저 생각해볼 수 있는 건 AutoIT 같은 스크립트를 응용해 보안장비가 의심 URL을 실제로 클릭해서 접속해보는 방식일 것이다.

Sandbox 기술을 응용한 최신 악성코드 탐지 시스템의 예

하지만 이 방법은 실제 사용자 환경에선 사용할 수 없다. 이유는 크게 2가지다. 첫째 1회성 URL(One-time URL) 문제다. 1회성 URL의 대표적인 예는 어떤 사이트에 가입하면 이메일을 통해 가입승인 링크를 주는 경우다. 그런데 만일 자동화한 보안 시스템이 본문 내 URL을 모두 클릭해본다면 이런 1회성 URL까지 전부 눌러볼 것이다. 한번 쓰인 1회성 URL은 재사용이 안 되기 때문에 결국 사용자는 사이트 가입을 포기해야 한다.

둘째 공격자의 보안 시스템 인지 문제다. 지능적인 공격자는 악의적인 URL을 담은 이메일을 전송한 뒤 사용자가 해당 URL을 클릭해서 들어오는 데 걸리는 시간을 측정한다. 이 때 너무 짧은 시간 안에 사용자가 URL에 접속하면 공격자는 이 접속을 사용자 접속이 아닌 보안장비에 의한 자동화 접속으로 판단한다. 이럴 경우 공격자는 미리 준비한 추가 행위를 하지 않게 조작한다. 실제로 많은 공격자가 이런 방식으로 이메일 서버 앞단에 위치한 보안 시스템을 걸러낸다.

이들 2가지 문제로 인해 보안 시스템이 의심스러운 URL을 사전에 접속하도록 하는 건 좋은 해결책이 아니다. 가장 좋은 방법은 이메일 보안 시스템이 악의적인 URL을 그레이리스트(Greylist)로 처리한 다음 인터넷 관문에 위치한 또 다른 보안 시스템으로 해당 정보를 넘겨주는 것이다. 아직 해당 URL 리스트는 ‘악의적인지(blacklist)’ 혹은 ‘정상적인지(whitelist)’ 판단할 수 없는 상태다.

이메일 수신 이후 사용자가 해당 URL을 클릭하면 인터넷 관문에 있던 장비는 그레이리스트 포함 여부를 확인하고 사용자의 웹 접속을 상세하게 모니터링해서 해당 URL이 악성인지 여부를 판단하게 된다. 이런 방법이 이메일 내에 첨부한 악의적이고 알려지지 않은 URL을 가장 정확하게 탐지할 수 있는 유일한 방법이다.

◇ 확실한 해답은 격리와 차단=고객을 만나보면 가장 많이 받는 질문 가운데 하나가 악성으로 탐지한 이메일에 대한 조치 방안이다. 대답은 항상 ‘격리와 차단’이다. 사용자의 인터넷 트래픽을 모니터링하는 장비라면 인라인 상에서 직접 차단 정책을 설정하는 건 장애가 발생할 수 있는 위험성이 있어 조심스러울 수밖에 없다.

보안솔루션이 위치하는 자리가 기존 네트워크 중간이라면 네트워크지연(latency) 등에 대한 추가 고민도 관리자 입장에선 할 수밖에 없다. 하지만 이메일은 관점을 달리 보는 것이 맞다. 네트워크의 경우 응답이 몇 초만 늦어져도 사용자는 장애로 인식하고 답답함을 느낀다. 이메일은 네트워크지연에 민감한 서비스가 아니다. 이메일이 1분 가량 늦게 전달됐다고 해서 장애가 생겼다고 인지하지는 않는다.

검사 대상이 APT 같은 지능형 지속공격이라면 단순히 탐지하는 것만으론 절대로 부족하다. 반드시 의심 메일을 격리하고 확인해서 발생 가능한 위협을 최소화하는 게 중요하다. 없는 것보단 낫겠지만 단순히 이메일을 통한 위협을 팀지하는 건 크게 도움이 된다고 할 수 없다.

이메일을 통한 APT 공격은 목표와 목적이 명확하고 치밀하다는 점에서 매우 위험한 위협이다. 이메일을 통한 공격은 첨부파일 형태 공격 뿐 아니라 본문 내 악의적 URL을 이용한 방법까지 다양하게 진화하고 있다. 따라서 이메일을 통한 APT 대응 솔루션은 조직을 위협에서 방어할 수 있는 필수 조건이다. 향후 진화하는 보안 위협에 능동적으로 대응하기 위한 필수 보안 요건인 셈이다.

이진원 칼럼니스트  jinwon.lee@techholic.co.kr

<저작권자 © 테크홀릭, 무단 전재 및 재배포 금지>