1. 개요
Advanced Persistent Threat지능적이고(Advanced) 지속적인(Persistent) 공격(Threat)을 가하는 해킹의 통칭.
여기까지는 대부분의 보안업계 종사자들이 동의하는 내용이지만 구체적으로 들어가면 각자 정의가 달라진다. 어느 범위까지 APT로 인정하는가에서 의견이 갈린다. 심지어는 AJAX처럼 마케팅 용어라고 비난도 받는다.
그렇지만 2015년 이후 APT라는 개념은 지능적으로 이메일을 이용해 악성코드 등을 심거나 강제로 암호화시켜 데이터를 날리는 것 또는 메일 내용을 통해 심리적 허점을 파고드는 행위에 초점이 맞추어져 가는 추세이다. 기존의 보이스 피싱이나 전화사기와 구별되는 부분은 첨단매체인 PC나 스마트폰 등에서 전자 네트워크와 이메일을 사용해 보안 취약점이나 심리적인 약점을 파고드는 형태를 자세하게 통칭하고 있다.
2. 상세
APT를 수행하기 위해 전자 네트워크를 통하여 가능한 모든 수단을 동원한다. 제로 데이 공격, 악성코드 유포, 사회공학적 기법 등 해킹이 될 만한 행위는 전부 하며 심지어 일부는 회사에 직접 침입하기도 한다. 그런데 이러한 기법들이 2000년 이전부터 이미 수행되고 있었고 특히 사회공학적 기법은 보이스 피싱 같은 데서도 비슷하게 쓰이고 있는지라 케빈 미트닉은 자신의 저서 〈네트워크 속의 유령〉을 통해 옛날에 했던 방식과 무슨 차이가 있냐고 까댔다.당장 대한민국에서도 APT라는 말이 채 나오기 전인 2000년대에 여러 게임에서 '캐시 아이템 버그'를 빙자하여 개인정보를 빼낸 사례가 있었다. 버그를 빙자해 패스워드를 포함한 개인정보를 입력하게 하고 이를 여론조사 호스팅 사이트를 통해 유출시키는 기법으로, 이것도 넓게 보면 APT라 말할 수 있다.[1]
3. 방어의 어려움
보안회사가 APT 공격을 막기 어려운 이유는 여러가지가 있다.전통적인 보안은 포괄적인 범위보다 한 분야에 집중되어 있다. 예를 들면 방화벽, 백신, 웹 관제 등 분야별로 나누어져 있다. APT는 보안 서비스의 단절된 빈틈과 사각지대를 노리기 때문에 방어가 힘들다. 다시 말해 보안회사는 부분적인 방어이며 APT는 종합적인 공격이라 막기 힘들다. 게다가 방어해야 할 빈틈이 많다.
APT를 비롯한 해킹 공격은 해커에게 주도권이 있다. 공격자는 보안회사의 취약점을 알지만 보안회사는 공격자를 감지하기 힘들다. 특히 APT라면 공격 규모도 작고 정밀해서 눈치채기 힘들다. 해커는 적당한 때가 되기까지 아주 길게 대기할수 있다.
결정적으로 해커들은 앞서 언급했듯 사회공학적 기법까지 동원하고 있다. 즉, 인간의 허점을 노리고 있다. 보안을 운영하는 회사의 주체도 결국 사람인지라 언젠가는 실수를 저지르게 되어 있는데 해커가 이 허점을 들쑤시면 제 아무리 튼튼한 시스템도 금방 무너지게 된다. 특히 내부자가 회사에 앙심을 품고 변절하거나 직원 하나하나가 다 빈틈인 경우는 집 문이 열린 것이나 다름없다. 실제로 대다수의 APT는 보이스 피싱과 비슷한 방식으로 정보를 스스로 유출하도록 유도하고 있다. 이러한 점이 APT 방어를 더욱 어렵게 하는 원인이다.
해커가 세심하게 파고드는 만큼 보안회사도 파고들어야 하나 고용주(회사)는 내부 정보 유출등의 이유로 보안회사가 파고드는것을 허용하지 않는다. 결국 고용주 스스로 보안대책을 세우는 것 밖에 없다. 이 때문에 APT 방어를 문자 그대로 전쟁에 빗대는 일도 있다. 사실 사용하는 기법들을 생각하면 단순히 어디어디를 해결한다기보다는 차라리 사이버 전쟁을 치른다고 봐야 한다.
특히 2010년대 들어 이메일에 국경이 없어지면서 해외발 각종 최신 기법과 바이러스를 동원한 APT가 날아들어오고 있는데 한국을 포함한 극동 아시아권의 중견이나 중소기업을 대상으로 더욱 극심하다. 그 이유는 수출기업이니 영어 이메일을 읽어야 하고, 반대로 영어는 익숙하지 않으므로 이메일 속의 작은 변화를 잘 눈치채지 못해서이다. 예를 들자면 [email protected]라고 거래처에서 오던 이메일을 중간에서 APT 기법으로 가로채 [email protected] 식으로 조그만 변화를 주고 거래처인데 계좌를 바꿔 송금하라고 한다든지(...), 아니면 이메일 안에 거래처 사이트 링크를 심어두고 급한일 있으니 클릭하라고 한 후 ingexample.com을 inqexample.com 식으로 바꾸고 접속하면 악성코드를 심어 이메일과 암호를 빼낸 후 온갖 장난질을 치는 식이다.
더욱 무서운 것은 암호나 정보를 빼낸 이후에 바로 장난질을 치는 게 아니라 몇 주에서 몇 달간을 잠복하면서 송금할 시기까지 기다리다가 막판에 한 방 크게 먹이는 식이다. 여기서 한 술 더 뜨는 놈들은 이메일을 가로채서 자기가 읽은 후 중간에서 중개무역 하듯이 거래처에 그걸 그대로 장기간 보내주다가 결정적인 순간에 조작질을 한다.
이메일을 이용한 수법에서 exe 등의 첨부파일을 이용한 수법은 이미 고전이고 요즘은 PDF 확장자를 가진 파일이나 Doc등의 문서파일 내용에 APT를 심는 식으로 고차원적 조작질까지 하기 시작하고 있다. 이메일 자체는 정상인데 거기 슬쩍 링크를 끼워 넣는 식도 있다. 링크를 그대로 넣으면 영리한 APT 전용 백신에는 위험사이트라고 탐지되니 여기서 또 한 술 더 뜨는 경우엔 www.??????.com 식이라면 고의적으로 링크를 바꿔 사용자가 직접 타이핑해 넣게 유도하는 짓까지 한다(...).
4. 해결 방법
앞서 언급했지만 APT는 기술, 회사 인프라, 그리고 결정적으로 구성원의 취약점을 두루 악용하므로 단순히 특정 보안 문제를 논한다기보다는 사이버 보안 분야의 문화 지체를 논한다고 봐야 한다. 이 때문에 기존의 보안 기술 만으로는 절대로 막을 수 없으며 그저 초기 보이스 피싱처럼 구성원 개개인이 몸사림 치고 스스로 보호하는 수 밖에 없다.가장 중요한 점은 이메일로 들어오는 것은 그 무엇이건 일단 의심하라.
예를 들어 거래처의 이메일이라도
- 평소와 다른 어투를 쓴다든지
- 메일 주소나 이름 철자가 좀 다르다든지
- 갑자기 미국에서 오던 아이피 주소가 나이지리아, 인도에서 발신된 것으로 나온다든지
- DHL이나 알리바바, 아마존을 사칭하며 보낸 적도 없는 물건의 도착여부를 확인하라고 요구한다든지
- 은행계좌가 블랙리스트니 여기 클릭해서 풀라고 한다든지
- 급하니 기존에 잘 쓰던 송금 계좌를 바꾸자고 하는 경우들
이런 식으로 이메일 속의 사소하거나 큰 변화들을 눈치채는 것, 그리고 의심하는 것이 APT 예방의 시작이다. 특히 중요한 것은 절대 이메일 내 첨부파일과 링크를 함부로 열지 않는 것이다. 보내주기로 약속한 자료인지 확인하고, 이후 반드시 바이러스 유무를 재확인하고 백신의 샌드박스에서 돌려본 후에도 100% 안심하지는 마라. APT 기반은 기존의 유명 백신이 탐지하지 못 하는 최신 바이러스를 첨부파일에 넣는 경우도 있다. 그래서 최신의 APT 백신들 중에는 아예 이메일 내용 자체를 전부 PDF 등으로 만들어 실행 자체가 불가능하게 하고 보여주거나, 기존의 이메일과 차이점이 있는 부분을 클로즈업하는 기능을 넣는 경우들도 있다.
큰 건이나 금전, 계좌, 송금에 관련된 부분은 상대의 변경 요청 시 절대 이메일로만 확인하지 마라. 언어의 장벽이 있더라도 현지 회사에 전화나 팩스로 확인해야 한다. 물론 언어나 거리의 어려움이 있겠지만 해외를 대상으로 사업이나 수출입을 하는데 이런 일에 전화 한 통, 팩스 한 건을 안 하면 되겠는가? 한국에서 한국 업체들만 거래하거나 회사가 아닌 개인이라 영어 이메일을 받을 일이 없다면 상대적으로 연락과 구별이 더 쉽다.
고용주는 본인은 물론 직원 교육 및 관리를 철저히 수행하여 직원의 사보타주를 예방하고, 지속적인 보안의식 고취와 함께 이메일 등에서 변화가 생겼을 시 즉각 보고하고 대처하는 능동적인 직원들을 양성해야 한다. 고용주 혼자 보안 잘 하고 경계수준 높아봐야 어리버리한 직원 하나가 피로에 쩔어 바이러스 걸린 첨부파일 누르면 몽땅 도루묵이다. 따라서 열정 페이 같이 직원의 사기를 저해하는 요소는 당연히 퇴출시켜야 한다. 농협 사건에서도 언급하겠지만 사보타주 역시 APT로 악용될 소지가 있기 때문이다.
다른 예로 2014년 원자력 발전소 도면 유출사건 역시 거래처로 위장해 안심하게 만든 이메일 악성코드를 통해 이뤄졌으며 정부합동수사단이 한수원 자료 유출 경로를 추적한 결과 원전 관련 도면 등 상당수가 협력사에서 빠져나갔다. 공격자는 이메일에 악성코드를 삽입해 PC를 감염시킨 뒤 자료를 빼냈다. 비용이 더 들더라도 협력사들의 보안에 대한 투자와 교육을 하지 않으면 어떤 위험성이 있는지 여실히 보여준 예. 원전도면 해킹 사고에도 협력사 보안은 여전히 허술, 전자신문 2015.03.23
보안 회사 역시 이러한 점을 알아두어 보안 전문가 뿐만 아니라 사회인문학 전문가를 영입하는 등 APT의 원인을 사전에 파악하도록 유도해야 한다.
무엇보다 단순하게 기존의 코드와 비교해서 걸러내는 백신 수준을 벗어나, 지능형으로 변화를 잡아내고, 주로 발생하는 APT 패턴을 학습하고 변화를 잡아주는 프로그램이 필요하다. 유명한 스팸이나 사기신고, 자주 나오는 아이피 등의 데이터베이스와 비교해 위험수준을 능동적으로 결정하는 방식도 APT에 효과적 대응이 가능하다.
5. 피해 사례
- (장기 잠복) SK컴즈 개인정보 유출 사건 - 사건을 간단히 설명하자면 SK컴즈 내부에 알툴즈가 설치된 것을 확인한 해커들이 이스트소프트의 알집 업데이트 서버를 해킹하여 SK컴즈 IP가 알툴즈 업데이트를 실시하면 알집을 통해 해킹프로그램을 깔리도록 하였고 그로 인해 네이트 일부 직원들이 감염되면서 관리자 계정이 해킹당한 사건이라고 하겠다. 제3자에게 걸리지 않도록 SK컴즈에서만 작동하게 하는 치밀함을 보였다.
- (잠복 및 내부자 변절) 스턱스넷 - APT를 언급할 때 빠짐없이 언급되는 사례. APT 공격의 알파이자 오메가적 사례. 이란의 핵프로그램을 연기시킨 물건이다. 몇가지 특이한 점이 있다. 프리즘 프로젝트를 폭로한 에드워드 스노든에 따르면 미국이 수행했다고 한다. 때문에 일부에서는 사이버전쟁으로 보기도 한다. 보안성이 높은 폐쇄망에 대한 공격을 성공시켰다. 외부와 단절된 망은 악성코드 혼자서 접근이 불가능 하므로 내부자를 매수해[2] 각종 공작을 했을것으로 추정된다. 막을수 없는 제로 데이 공격을 상당수 사용했으며 이란 원심분리기에 확실한 피해를 입혔다.
- (인프라 취약점 악용) 미 군수업체 해킹 - 록히드 마틴과 노스롭 그루먼이 해킹당한 사건으로 방법은 이렇다. 록히드 마틴에서는 RSA 사의 시큐어 ID 라는 제품을 쓰고 있다. 해커들이 RSA를 사회공학적 기법과 제로데이 취약점을 이용해 해킹한뒤 시큐어 ID 제품에 대한 정보를 빼돌린다. 획득한 정보로 록히드 마틴을 해킹한다. 짧게 말해 집 문을 열기위해 자물쇠 제조회사를 먼저 턴것이다.
- (원인 불명) 농협 전산 사고 - 전산 사고의 행위 주체와 사용 기법에 따라서 북한의 해킹이냐 사보타주냐로 갈리는 상황.
- 북한의 소행? : 한국 정부에서는 북한소행이라고 하나 보안업계가 납득할 만한 증거를 제시하지 못했다.
- 사보타주? : 농협이 개발자의 3대 무덤으로 불리는 바 개발자가 앙심을 품고 일을 저질렀다는 추측도 있다. 실제로 농협에서 근무하는 개발자가 건강이 좋지않아 폐 절단 수술을 받으며 1년의 휴직신청하고 회복기간에 들어간 후 복직신청을 했으나 해고당하여 소송전까지 갔을 정도로 여건이 좋지 못하다. 기사
- (장기 잠복 및 인프라 취약점 악용) 대한민국 국방부 인트라넷(국방망) 해킹사건
농협 전산 사고와는 달리 이 쪽은 북한의 소행일 가능성이 높다. 그것보다 더 큰 문제는, 외부 망과 내부 망을 같이 연결하는 데이터센터가 해킹당했다는 것. 망 분리를 했다고는 했지만, 망 분리가 어려운 곳의 허점이 드러났다는 점에서 안보불감증, 다시 말해 국가 안보 마저 사보타주가 일어났다는 논란을 피할 수 없다. 게다가 이미 수 차례 해킹을 당한 바 있는데도 망 구조를 뜯어 고치지 않아 화를 더 키웠다는 지적이 많다. - (인프라 취약점 악용) 2017년 5월 워너크라이 랜섬웨어 사태
해킹되어 공개된 NSA의 프로그램[3]을 이용해 랜섬웨어를 만들고, 여러 가지 사정상 업데이트를 하지 않은 컴퓨터들을 노렸다. 이 때문에 MS에서는 원인제공자였던 NSA, CIA 등의 사보타주를 강도높게 비판하였으며, 더불어 제네바 협약을 디지털 무기로도 확대해야 한다고 주장하고 있다. 짧게 말해 제조사 마스터 키를 털던 도둑의 집을 털고서, 그 키로 자물쇠를 딴 격이다. 여기에 대다수의 업체들이 이런저런 이유로 업데이트를 미룬다는 사실을 해커가 알고 있었다는 점에서, 고질적인 질환의 문제 역시 수면으로 떠올랐다.
[1] 이 때문에 구글 여론조사 호스팅에서는 이러한 행위가 의심되는 경우 즉시 신고하도록 권장하고 있다.[2] 당시 이란에 부품을 제공하던 전자제품 회사의 증명서를 위조한 것을 보아 이와 관련된 내부자를 통해 넣은 것으로 추정[3] NSA를 해킹한 해킹 집단이 워너크라이 유포에 관여했다는 의혹이 있지만, 2017년 8월 현재 명확히 밝혀지지 않은 상태다. 참고로 해킹 자체는 사회공학적 기법을 이용한 듯하다.