전산망 마비 원인으로 추정되는 해킹 유형, APT란?

국내 주요 방송사와 금융사의 내부 전산망을 마비시킨 해킹 공격 유형으로 'APT'가 유력하게 거론되고 있다. 보안전문기업 안랩은 "공격자가 APT 공격으로 업데이트 서버 관리자의 아이디와 비밀번호를 탈취한 것으로 추정한다"라고 밝혔다. 해커가 업데이트 서버 관리자의 계정 정보를 취득하고, 이를 이용해 정상적으로 서버에 드나들며 공격을 했다는 추측이다.

APT가 뭐지?

APT(Advance Persistent Threat, 지능형 지속 공격)란, 해커가 다양한 보안 위협들을 생성해 특정 기업이나 조직 네트워크에 지속적으로 가하는 공격 행위를 말한다. 과거에는 무작위 공격이 주를 이뤘던 반면, 최근에는 해커들이 협업을 통해 취약점을 발견하고 조직적, 장기적으로 공격하는 방식을 취하고 있다. 이에 따라 APT는 최근 IT 업계에 가장 큰 위협이 되는 요소 중 하나로 거론되고 있다. APT 공격을 받았던 기업은 현대캐피탈, 옥션, SK커뮤니케이션즈, 농협 등이다.

해커가 APT 공격을 가하는 것은 경제적, 정치적, 전략적 목적을 달성하기 위함이다. 예를 들면, 정부 기관을 공격해 기밀 정보를 빼내거나 사이버 테러를 일으킨다. 기업을 공격해 금융 자산 정보를 탈취하거나, 산업 시설을 공격해 시스템을 마비시킨다. 간혹 국가를 상대로 한 사이버 전쟁을 목적으로 삼는 경우도 있다.

또한 불특정다수보다는 특정 조직이나 그룹을 대상으로 하며, 목표를 달성할 때까지 계속해서 공격한다. 때문에 APT 공격은 대개 월 또는 연 단위로 지속적으로 이루어진다. 보안전문기업 포티넷에 따르면 APT 공격 기간은 평균 1년이며, 최장 4.8년 동안 이루어진 경우도 있었다.

즉 일단 APT 공격을 받는다면 2차, 3차 공격을 받을 가능성이 크다. 이번에 공격을 받은 KBS와 MBC도 해커의 추가 공격을 암시하는 듯한 단서를 발견했다고 전했다. MBR(PC 운영의 기본 정보를 담고 있는 부분)에 새겨진 16진수의 숫자를 문자로 바꿔보니 '하스타티(HASTATI)'가 됐다. 하스타티는 로마제국 당시 보병부대의 맨 앞에 서는 선봉 부대를 의미한다. 하스타티가 무너지면 2열의 프린키페스가, 프린키페스가 무너지면 3열의 트리아리가 싸우게 된다.

해커들은 목적을 달성하고자 모든 공격 수단을 활용하기 때문에, APT 공격에는 일정한 패턴이 존재하지 않는다. 다만, 특정 조직의 내부 직원에 접근해 공격을 수행하고, 그 직원의 PC를 통제하에 두는 경우가 많다. 해커는 그 PC를 통해 내부 서버, DB 등에 접근해 제어권을 확보한다. 그리고 서버와 DB에서 중요한 정보를 빼내거나 파괴한다.

APT 공격, 사전에 방지하려면?

현재 APT 공격을 100% 차단할 수 있는 해법은 없기 때문에 개개인이 주의할 수 밖에 없다. 기존의 백신이나 보안 제품을 잘 사용하고, 항상 최신 버전으로 업데이트할 것을 권한다. 포티넷에 따르면 APT 공격의 90% 이상이 이메일을 통해 들어오므로, 스팸메일을 차단하고 중요한 정보가 유출되는 것을 방지해주는 솔루션을 사용하는 것이 좋다. 출처가 불분명한 메일이나 첨부파일은 확인하지 않는다.

기업 차원에서도 노력이 필요하다. 예를 들면 중요 정보에 대해 최소 인원만 접근하도록 조치해 정보 유출을 최소화할 수 있겠다. APT 공격을 대비해 중요한 데이터는 별도로 백업해놓거나 따로 관리하는 것이 좋다. 보안 관련 교육을 시행해 임직원의 인식을 높이는 것도 중요하다.

또한 사용자가 자신의 스마트 기기(스마트폰, 태블릿PC)를 회사 업무에 활용하는 'BYOD(Bring Your Own Device)'가 늘어남에 따라, 개인용 기기의 보안에도 신경을 써야 한다. BYOD는 업무를 효율적으로 처리할 수 있다는 장점이 있지만, 그만큼 보안에 취약하다는 단점도 있다. 스마트폰과 태블릿PC는 언제 어디서나 사용할 수 있다 보니 여러 위험에 노출된다. 사용자도 모르는 새 해당 기기에 있는 정보가 유출되거나 악성코드가 삽입될 수 있다. 만약 사용자가 회사에 출근해 감염된 스마트폰을 업무에 활용하거나 회사 네트워크에 연결하면 회사 네트워크도 감염될 염려가 있다. 그러면 회사 내부의 기밀자료, DB, 중요한 소스코드가 유출되거나 파괴되는 사고가 일어날 수 있다. 최근 모바일을 타겟으로 한 APT 공격이 점점 증가하고 있으며, 특히 안드로이드를 대상으로 한 위협이 늘고 있다.

글 / IT동아 안수영(syahn@itdonga.com)