최근 가장 뚜렷한 보안 이슈는 APT 공격이다. 보안관련 뉴스만 봐도 얼마전까지는 DDOS 공격에 대한 이슈가 더 많이 눈에 띄었으나 최근엔 APT 공격에 대한 위험과 방어 대응체계에 대한 이슈들이 훨씬 많다.
이 기사에서 볼 수 있듯 기업 전산실이나 공공기관 전산실에 근무하는 정적인 업무를 수행하는 담당자들의 보안 지식은 조금은 부족한 경우가 많다. 다른 분야와 달리 “보안”분야는 어느 한두가지 기술적 지식만으로는 기술이슈에 대해 제대로 이해할 수 없는 경우가 많다.
정보보안에 대해 각 이슈마다 정확하게 이해하고 적절하게 대응하기 위해서는 다양한 운영체제(windows, linux, Unix 등등)와 네트워크 (OSI 7 Layer, TCP/IP, UDP, ICMP 등등) 프로토콜 그리고 데이터베이스(Oracle, SQL Server 등등)는 물론 시스템소프트웨어(백업, 작업스케줄러, 시스템/네트워크 관리SW, 클러스터 SW 등등)와 웹서버, 웹애플리케이션서버, 형상관리SW 등등 다양한 기술적 요소는 물론 PKI, LDAP, SSO, 암호학 등에 대한 어느정도 심도있는 이해가 필요하다. 그래야만 다양한 분야에 박학~다식~한 수많은 해커들의 공격에 대응할 수 있기 때문이다.
보안업계에서 우스갯 소리처럼 떠도는 이야기중에 이런 이야기가 있다.
A : 흔히 메인프레임이라는 시스템이 보안이 가장 잘되어 있다고 이야기하는데 메인프레임이 보안에 강한 이유가
뭔지 아는가?
B : 메인프레임의 아키텍쳐가 보안을 잘 고려하여 설계되었기 때문 아닌가?
A : ㅎㅎ 천만에~~ 전혀 아니네…
B : 그럼 왜 메인프레임이 보안에 가장 강하다고 하는데??
A : 그건 바로 메인프레임에 대해 제대로 알고 있는 해커가 없기 때문이라네.
나의 경우도 메인프레임에 대해서는 거의 모르는 문외한이다. 경험이 거의 없기 때문이다. 나같은 사람이 메인프레임의 관리자 권한을 일정시간동안 획득할 수 있다고 해도 할수 있는게 없다. 내 눈앞에 엄청난 돈이 되는 정보를 얻을 수 있는 화면과 키보드가 주어져도 모르기 때문에 정보를 빼낼 수 없는 것이다.
얼마 전 업무 때문에 메인프레임의 보안솔루션인 RACF에 대해 공부하면서 알게된 사실 중 하나가 RACF 관리자와 메인프레임 시스템 관리자의 권한이 제대로 분리되지 않으며 RACF를 우회할 수 있는 기법들이 오픈시스템만큼이나 다양하게 존재하고 있다는 사실을 알게 되었다. 그만큼 메인프레임의 보안에도 헛점이 많지만 그것을 알고 있는 사람이 거의 없을 뿐이라는 사실을 알게 되었다.
APT 공격은 공격 대상이 되는 시스템이 있는 기업/기관의 운영체제와 네트워크, 서버에 대해 충분히 이해하고 있어야만 성공할 수 있다. 해커들은 대부분의 APT 방어 기법에 대해 이미 정확하게 이해한 상태에서 오랜시간 지속적으로 끈질기게 공격을 하기 때문에 특정 보안솔루션을 도입했다고 해서 막을 수 있다고 생각하는 것은 APT 공격에 대한 가장 큰 오해다.
APT 공격에 의한 보안 사고 사례
최근 몇년간 발생한 가장 대규모의 APT 공격에 의한 보안사고 사례다. 어찌보면 가장 최근에 발생한 3개 신용카드사 개인정보 유출사고도 APT와 유사한 사례라 볼 수 있다. 사실 APT 보다는 위의 KT 고객정보 유출사고와 같이 내부자에 의한 정보유출사례에 더 가깝지만 넓은 의미에서 APT 공격의 범주에 포함시켜도 무리가 없을 듯 싶다. 원격에서의 악성코드 유포나 내부 침투 단계 유형만 다를 뿐 서버에 침투하여 정보를 빼내가는 형태가 APT와 유사하기 때문이다. 자동화된 도구를 이용해 원격에서 수행하였는가 아니면 내부에 직접 사람이 침투하여 정보를 유출시켰는가만 다른 정도다.
APT 공격의 단계별 공격 과정
위의 그림에서 볼 수 있듯 APT 공격은 네트워크 보안솔루션이나 백신, 서버보안SW와 같은 단일 솔루션으로는 완벽하게 통제가 불가능한 다양한 공격기법들의 집합체다. 즉 단순한 공격기법들이 고도로 발달한 포인트 보안 솔루션들의 등장으로 인해 성공가능성이 현저히 떨어지자 기술적 공격기법과 사회공학적 기법 그리고 제로데이 취약성 공격 및 분산공격 등과 같은 다양한 공격기법을 동원해 수많은 보안솔루션들의 탐지/차단 기술들을 우회하여 공격하는 것이다.
그런데 APT 방어 솔루션이라고 네트워크 단에 장비하나 추가로 설치한다고 APT 공격을 막을 수 있다고 생각하는 것이 오해가 아닐까?
최근 유행하는 APT 공격 방어 기법
최근 “APT 공격 방어 솔루션”이라는 타이틀을 달고 출시되는 여러 제품들이 있다. 가장 대표적인 것이 파이어아이(FireEye)와 맥아피의 MATD라는 솔루션이다. 이 솔루션들은 공히 어플라이언스 형태로 네트워크의 길목에 설치되는 게이트웨어 형태의 제품이다.
이런 제품들의 가장 큰 장점이자 단점은 제로데이 취약성을 공격하는 악성코드를 탐지할 수 있다는 것이다. 왜 장점이자 단점인가 하면 정확도가 떨어지기 때문이다. APT 공격의 첫단계인 침투단계에서 가장 흔히 이용되는 침투 기법이 바로 인터넷에 접속가능한 내부망에 설치된 PC에 원격제어 및 정보유출이 가능한 악성코드(멀웨어)를 감염시키는 것이다. 파이어아이나 MATD는 내부망으로 다운로드 되는 파일을 샌드박싱 기법에 의해 장비내의 가상머신에 올린 뒤 실행시켜본다. 그래서 이 두 장비의 스펙에 보면 가상머신을 몇개까지 동시에 구동하여 악성코드를 탐지할 수 있다는 문구들이 나오는 것이다. 하지만 이런 기법으로는 “다운로드 된 파일이 악성코드일 가능성이 몇퍼센트다” 라는 불확실한 정보를 제공할 수 밖에 없다. 게다가 이러한 샌드박싱 탐지 기법이 나오자 마자 해커들은 파일을 여러개로 분리하여 감염시킨 뒤 분리된 모든 파일이 감염되었을 때 비로소 활동을 시작하는 새로운 기법의 감염경로를 만들 정도로 자동화된 악성코드 탐지는 불가능에 가까운 상황이다.
샌드박싱 이외에도 정적 분석, 동적 분석 등 자동화된 제로데이취약성 탐지 기법들이 동원되지만 여전히 오탐의 가능성이 너무 높은 것이 단점이다. 때문에 장점이자 단점이라는 결론에 도달할 수 밖에 없는 것이다. 그리고 이러한 방어기법을 가진 솔루션은 APT 공격에 대한 방어 솔루션이 아니라 APT 공격의 침투단계에서 악용되는 공격기법 중 하나인 제로데이 취약성 공격을 탐지하는 수준의 탐지솔루션이라고 보는 것이 더 정확하다 하겠다.
APT 방어 시스템 구축
앞에서 설명한 여러 이유로 인해 APT 방어 시스템은 특정 솔루션을 도입하여 네트워크 길목에 설치하는 것으로 구축할 수 있는 단순한 시스템이 아니다. 앞에서 언급한 다양한 APT 공격 단계별 방어 시스템을 구축하여 유기적으로 운용하는 것이 가장 효과적인 APT 방어 시스템이라고 생각해야 한다.
그리고 현시점에서 추가적으로 구축할 수 있는 APT 방어에 가장 효과적인 기술은 3 가지가 있다.
제로데이 취약성 공격 방어를 위한 Whitelist 기반의 백신 및 PC/서버 무결성 검사 및 방어 기술내부 서버 인프라 침투를 방어하기 위한 2 Factor/2 Channel 인증 기술서버 내의 중요 데이터 및 파일(명령) 실행을 통제하기 위한 2 Factor/2 Channel 승인 기술
이 세가지 기술이 적용된 APT 방어 시스템의 구성은 아래 그림과 같다.
제로데이 취약성 공격을 통해 원격에서 내부망에 침투 거점을 막기 위해서는 Whitelist 기반 악성코드 감염 방지 기술이 필수적이다. 지금까지의 백신이 블랙리스트 방식이고 최근 평판기반 악성코드 분석기술이 적용되기 시작했으나 평판기반 악성코드 분석 기술도 완벽할 수 없는 보안기술이다. 때문에 강력한 Whitelist 기반 실행파일 실행 통제기술과 중앙관리 기술이 필수적이다. 이렇게 하지 않으면 APT 공격의 침투단계를 완벽하게 차단하는 것은 불가능하다.
또한 내부에 해커가 침투하여 거점을 생성하고 지속적인 모니터링을 통해 내부 서버에 대한 접근권한을 얻더라도 서버에 접속하지 못하도록 하기 위해 2 Factor/2 Channel 인증기술을 적용하여야 한다. 이 기술은 원격에서 서버에 대한 접근 IP, ID, password를 획득하더라도 부가적인 추가 인증(PKI인증서, OTP번호, ARS(전화)인증을 받아야만 서버에 접근할 수 있기 때문에 서버의 장악을 차단할 수 있다.
만약 이마저도 뚫렸다 하더라도 2 Factor/2 Channel 인증시스템과 서버보안SW를 연계하여 중요 데이터 파일에 직접접근하거나 다운로드 받으려 할 때 또는 실행을 통제해야 하는 위험 명령어를 실행하고자 할 때 상급자에게 ARS 승인을 받아야만 하도록 강력한 보안 인증/승인 기술을 적용함으로써 내부 서버 인프라에 대한 거의 완벽한 APT 공격 방어가 가능하다.
신용카드 3개사의 개인정보 유출 시 KCB 직원은 바로 이 마지막 방어 단계에서 통제가 이루어졌어야 한다. 서버에 접근 권한을 주더라도 실제 데이터파일을 다운로드 받지 못하도록 또는 다운로드 받기 위해서는 제3자의 승인을 받아야만 하도록 하고 다운로드 받은 사실을 확인하여야 하며 다운로드 받은 해당 노트북 및 지참한 USB 메모리 등 이동식 저장소에 대한 검사 등이 수행되었어야 한다.
하지만 이러한 완벽한 APT 방어 시스템 구축은 무척 어렵다. APT 방어 시스템 구축의 가장 큰 걸림돌은 바로 조직 내부의 구성원들이다. 업무 수행의 불편함으로 인해 보안정책수립에 대한 거부감이 클 수 밖에 없기 때문이다. 이는 우리나라 특유의 “빨리~빨리~”문화와 보안보다는 서비스 수행이 우선이라는 사고방식 때문이다.
결국 IT 시스템의 보안에 대한 제대로된 인식이 수립되지 않는 이상 서버를 건드리지 않는 네트워크 기반의 포인트 솔루션 도입으로 보안을 강화하려는 한계를 극복할 수 없다. 하지만 이미 해커들은 수많은 공격루트를 통해 내부망의 서버 인프라를 장악하는 기법에 대해 정확하게 파악하고 있고 실제로 공격을 감행하고 있다.
언제까지 서버를 이대로 방치할 것인가?
*** 관련 포스트 보기