[GSC 2013] BYOD 환경에서의 위협 동향과 모바일 APT 대응 전략
2013년 3월 5일, 동아닷컴이 주최하고 게임동아가 주관하는 '제2회 게임 보안 컨퍼런스(이하 GSC 2013)'가 서울시 서초구 양재동에 위치한 엘타워에서 열렸다. 올해로 2회를 맞이하는 GSC는 최근 온라인 및 모바일 환경에서 자주 발생하는 해킹, 정보유출 등 보안 사고에 대한 방안을 제시하는 행사다. 특히, 각종 사고 사례를 통해 체계적이고, 실질적인 대처 방안을 논의해 많은 관심을 받고 있다. 작년에는 한게임, 넥슨, CJ E&M 등 주요 온라인 게임사의 보안 담당 실무자와 대표 보안 업체 관계자 등 약 100명이 참가했으며, 올해는 규모가 더 커졌다.
이번 GSC 2013에는 HP, IBM, 팔로 알토(Palo Alto), 파이어 아이 등 보안 업체 관계자와 학계 전문가 등이 연사로 참여해 해커들의 최근 공격 동향, 대처 방안 등의 정보를 제공했다. 특히, 최근 이슈가 되고 있는 모바일 게임 관련 보안 문제를 실제 사례 중심으로 설명해 눈길을 끌었다.
이날 행사에서 세 번째 세션은 'BYOD 환경에서의 위협 동향과 모바일 APT 대응 전략'에 대한 내용으로, 보안 솔루션 업체 Fortinet(이하 포티넷)의 구자민 수석 컨설턴트가 발표를 진행했다.
해커가 내 직원의 스마트폰을 노린다
최근 IT 업계에 가장 큰 위협이 되는 요소 중 하나가 바로 'APT(Advance Persistent Threat)'다. APT란, 해커가 다양한 보안 위협들을 생성해 특정 기업이나 조직 네트워크에 지속적으로 가하는 공격 행위를 말한다. 해커가 APT 공격을 가하는 것은 경제적이거나 정치적인 목적을 달성하기 위함이다.
구 컨설턴트는 최근 APT의 타겟이 PC에서 모바일로 바뀌고 있다고 설명했다. 그 이유는 사용자가 자신의 스마트 기기(스마트폰, 태블릿PC)를 회사 업무에 활용하는 'BYOD(Bring Your Own Device)'가 늘고 있기 때문이다. BYOD는 업무를 효율적으로 처리할 수 있다는 장점이 있지만, 그만큼 보안에 취약하다는 단점도 있다. 스마트폰과 태블릿PC는 언제 어디서나 사용할 수 있다 보니 여러가지 위험에 노출된다. 사용자도 모르는 새 해당 기기에 있는 정보가 유출되거나 악성코드가 삽입될 수 있는 것이다. 또한 많은 사용자들이 무분별하게 와이파이 연결을 하는 경우가 많은데, 이 때 정보 유출이나 악성코드 삽입 위험이 크다. 문제는 해당 기기에 회사 기밀자료가 담겨 있을 때 일어난다.
해커는 애플리케이션(이하 앱) 마켓에 악성 앱을 올리고 실행하도록 하거나, 네트워크를 통해 특정 사용자의 스마트폰에 악성코드를 심는 방법으로 공격을 시도한다. 그러면 사용자의 스마트폰은 '좀비 스마트폰(악성 바이러스에 감염돼 해커의 뜻대로 사용되는 스마트폰)'이 된다. 사용자가 회사에 출근해 자신의 스마트폰을 업무에 활용하거나 회사 네트워크에 연결을 하면, 회사 네트워크도 감염될 염려가 있다. 그러면 회사 내부의 기밀자료, DB, 중요한 소스코드가 유출되는 등의 사고가 일어날 수 있다. 예를 들면, 해커가 A기업에 다니는 직원의 스마트폰에 접근해 A기업의 기밀 자료를 빼내거나 디도스 공격을 할 수 있다. 모바일 악성코드는 점점 증가하고 있으며, 특히 안드로이드를 대상으로 한 위협이 늘고 있다.
이에 따라 기업들의 고민이 깊어지고 있지만, 보안 위협에 대응하기란 쉽지 않다. 우선 보안 시스템이 다양한 단말기와 OS를 완벽하게 지원하지 못한다는 문제가 있다. 또한 OS 버전이 업데이트될 경우 보안 프로그램도 이에 맞춰 새롭게 업데이트되어야 하는데, 새 버전을 만들고 적용하는 데 시간이 소요된다. 만약 그 사이에 직원의 스마트폰이 감염된다면 문제가 커질 수도 있다. 하지만 BYOD에 따른 업무 효율 향상, 스마트워크 등의 장점도 있고, 기업이 직원에게 '업무 시 개인용 스마트 기기를 활용해서는 절대 안 된다'고 무작정 막기도 어렵다.
네트워크 보안, APT 분석에 집중하는 것이 관건
구 컨설턴트는 "BYOD에 따른 위협을 방지하려면 네트워크에 집중하라"고 강조했다. BYOD로 인한 보안 위협은 개인이 기업 내부의 네트워크에 스마트 기기를 액세스할 때 가장 많이 일어난다. 따라서 기업 네트워크 보안을 강화한다면, 직원의 스마트폰이 좀비가 되었더라도 악성 프로그램이 쉽사리 침투하지 못할 것이다. 또한 네트워크에서의 악성코드 접촉 기록을 주기적으로 검토한다면 보안 위협을 예방할 수 있다.
이어 보안 위협에 대응하기 위해 포티넷에서 시행하고 있는 방법론도 여럿 소개했다. 우선 '멀티 패스 APT 대응 아키텍처'는 '멀티 패스 필터'를 통해 APT를 정확하게 분석하는 서비스다. 이 서비스는 1단계로 악성코드를 실시간으로 분석한다. 그리고 각각의 코드가 실제로 악성코드 역할을 하는지 가상으로 실행시킨다. 이를 '로컬 라이트 샌드박싱'이라 한다. 이렇게 코드들의 행동을 탐지해, 의심되는 행동을 하는 코드는 악성코드로 보고 미리 차단한다. 2단계에는 클라우드를 기반으로 샌드박싱을 시행한다.
포티 가드(FortiGuard) 서비스를 활용해 C&C(Command & Control, 공격 명령)를 탐지하고, 다양한 IP, URL 정보를 바탕으로 APT를 분석하는 기법도 있다. 이 기법은 일반적인 악성코드는 물론, 마치 정상인 것처럼 보이지만 추후 C&C를 잠재하고 있는 악성코드까지 분류해 낸다.
'클라이언트 레퓨테이션(Client Reputation)' 기법은 기업 네트워크를 활용하는 사람들의 행동 패턴을 분석해 보안 정도에 따라 점수를 매기는 것이다. 점수는 1~1,000점까지 체크할 수 있다. 점수를 통해 기업 내에서 보안에 가장 취약한 사람이 누구인지 확인할 수 있다. 또한 기업 임직원들이 어떤 위험한 사이트에 접속하는지 살펴보고, 분석할 수 있다. 이를 바탕으로 보안 관련 대책을 마련한다면 잠재적인 공격을 막을 수 있다.
글 / IT동아 안수영(syahn@itdonga.com)