preLoad Image preLoad Image
검색 바로가기
주메뉴 바로가기
주요 기사 바로가기
다른 기사, 광고영역 바로가기
중앙일보 사이트맵 바로가기
닫기
닫기

AI 활용한 APT 공격, 악성코드 전파부터 막아라

전설적인 해커이자 세계 최고의 온라인 보안 전문가인 댄 카민스키가 이달 3일(현지시간) 미국 라스베이거스에서 열린 블랙햇 행사에서 기조연설을 하고 있다. 세계 최대의 보안 기술 콘퍼런스인 블랙햇에는 올해에도 관련 분야 전문가 1만1000명이 참가했다. 라스베이거스 신화=뉴시스



지난달 26일 대형 온라인 쇼핑몰인 인터파크의 고객 정보 1030만 건이 유출된 것으로 밝혀졌다. 전체 고객 정보의 40%가 지능형지속위협(APT) 방식의 해킹 공격에 의해 새 나간 것이다. 사이버경찰청은 해커가 보낸 e메일 내용이 서툰 한국어인 점을 들어 국외 해커 조직이 벌인 것으로 추정하고 있다. 해커는 인터파크 측에 30억 원어치의 비트코인을 주지 않으면 정보 유출 사실을 공개하겠다고 협박한 것으로 드러났다.



[IT는 지금] 인터파크 정보 유출로 본 보안 위협

 

지능형지속위협(APT) 공격을 당해 고객 정보 1000만 건이 유출된 인터파크. [중앙포토]



인터파크 해킹사례와 같은 APT 공격은 이번이 처음은 아니다. APT는 말 그대로 지능적인 방법으로(Advanced) 꾸준히(Persistent) 해킹 대상을 위협(Threat)하는 방식이다. 일종의 사이버 스토킹과 비슷하다. 지난달 30일(현지시간)부터 엿새 동안 미국 라스베이거스 만달레이베이 호텔에서 열린 ‘블랙햇(Black Hat) 컨퍼런스’에서도 APT를 통한 취약점 공격 방법과 대응 방안이 큰 관심사였다. 블랙햇은 온라인 보안 분야 전문가들이 참여하는 세계 최대 보안 행사다.



인터파크 해킹은 e메일을 활용한 것으로 파악됐다. 임원으로 위장한 해커가 보낸 악성 파일을 첨부한 e메일을 직원들이 열어보면서 문제가 생긴 것이다. 해커는 악성 파일을 내려받은 직원의 PC에 ‘트로이 목마’를 설치하고 장기간 잠복하면서 주변 PC와 서버를 감염시켰다. 그리고 주요 목표인 고객정보 데이터베이스에 도달했을 때 공격을 감행한 것이다. 이처럼 APT 공격은 장기 계획이 필요하고 비용도 많이 들기 때문에 특정한 목적을 갖고 개인보다는 기업이나 정부기관을 대상으로 하는 경우가 많다. 공격 주체도 개인이 아니라 기관 및 범죄 조직인 경우가 많다. 버라이즌은 최근 APT 공격자의 99%가 정부 기관, 범죄 조직 및 경쟁 업체라고 발표했다.



이번 블랙햇 행사에서 구글은 재미있는 실험 결과를 발표했다. 구글의 보안담당자인 엘리 버스차인은 일리노이 대학의 허가를 받아 캠퍼스 안 다섯 곳에 USB 메모리 297개를 뿌렸다. USB에는 제안서나 특허 출원, 연도 계획서 등의 이름으로 HTML 파일이 담겨 있었다. 사실 이 HTML 파일은 멀웨어 대신 담긴 것이다. 습득한 사람이 HTML 파일을 열면 실험용 서버에서 자동으로 어떤 파일이 언제 열렸는지 정확히 확인할 수 있다. 실험 결과 USB 메모리를 주운 사람 중 45%가 파일을 열어 봤다. 버츠타인은 “안타깝게도 USB 메모리를 뿌린 지 1시간도 안돼 20%의 사람들이 HTML 파일을 클릭했다”고 말했다. 이번 실험에서는 악성 코드가 들어있지 않았지만 실제 상황이었다면 상상 이상으로 쉽게 PC의 사용 권한을 획득할 수 있다는 얘기다.





45%가 주운 USB에 든 파일 열어봐APT 공격은 여러 단계를 거쳐서 진행된다. 미국 방위업체인 록히드마틴은 전문용어로 ‘사이버 킬 체인’이라고 부르는 6단계로 구분했다. 킬 체인은 선제 타격을 의미하는 군사용어다. 록히드마틴 모델에 따르면 첫 단계는 취약점 분석이다. 해커는 누구를 먼저 공격해야 하고 어떻게 접근해야 할지 전략을 수립한다. 예를들어 A기관이 진행하는 사업을 분석해 어느 사이트에 많이 접속하는지 알아낸다거나 A기관 관련자들의 정보를 컨퍼런스·구글·페이스북을 통해 수집하는 식이다.



첫 단계가 끝나면 악성코드를 전파한다. 첫 단계의 조사 결과를 기반으로 스피어피싱·워터링홀 등의 기법을 자주 이용한다. 스피어피싱은 악성 인터넷주소(URL)나 악성 코드를 e메일에 첨부해 이를 클릭하면 감염시키는 방식이다. 최근에는 페이스북 댓글을 통해서도 스피어피싱이 자주 이뤄지고 있다. 댓글에 사람들이 궁금해 할 URL을 링크해서 클릭하게 유도하는 방식이다. 워터링홀은 공격대상이 자주 접속하는 사이트를 감염시켜 이 사이트에 접속하면 악성코드를 감염시키는 방식이다.



이런 과정을 통해 시스템 침투에 성공하면 다른 악성코드를 계속 심어 전체 시스템을 장악한다. 해커는 침투한 악성코드와 끊임없이 정보를 주고받는다. 이 단계에 오면 악성코드에 감염된 PC는 해커가 원격으로 전체 시스템을 공격하기 위한 ‘지휘 통제(C&C)’ 센터가 되는 셈이다. 대상 기관의 주요 시스템에 도달하기 위해 주변 시스템으로 감염을 확대하는 ‘래트럴 무브먼트’를 거쳐 주요 목표에 도달하면 사이버 공격을 감행한다. 공격의 형태는 서버가 제대로 동작하지 못하게 방해하는 서비스거부(DoS), 주요 데이터를 암호화한 뒤 몸값을 받고 비밀번호를 알려주는 랜섬웨어 등 다양하다. 보통 공격에 소요되는 기간은 6개월에서 1년 정도다.



보안전문업체 팔로알토네트웍스에 따르면 APT 공격에서 악성코드 전파에 가장 많이 활용되는 경로는 웹과 e메일이다. 전체의 98.8%를 차지한다. 대상 기관의 시스템을 직접 침투해 사이버 공격을 감행해 성공할 가능성은 확률상 매우 낮다. 내부 직원이 아니고서야 수많은 보안 시스템을 직접 뚫는 것은 거의 불가능에 가깝다. 그래서 해커들은 대상기관 내부 직원들을 속여서 웹과 e메일을 통해 악성코드를 심는 것이다. 이외에도 P2P·트위터·페이스북 등도 해킹의 통로가 된다.



실제로 2014년 11월에 발생한 한수원 도면 유출의 경우, 해커는 한수원의 은퇴 직원으로 가장해 e메일을 통해 직원들이 악성파일을 내려받게 유도했다. 이로 인해 래트럴 무브먼트 단계에서 한수원에 주요 서버를 담당하는 직원들의 PC를 감염시켰고 주요 데이터베이스를 해킹한 것이다. 따라서 APT 공격을 방지하기 위한 관건은 보안 사각지대인 웹·메일 경로를 확인하고 해킹 공격을 미리 탐지해 차단하는 것이다. 악성코드가 시스템에 침투하면 이를 발견하기란 쉽지 않기 때문에 악성코드 전파 단계에서 방어해야 하는 셈이다.



 



자동으로 만들어진 콘텐트 패턴 파악 필요문제는 나날이 발달하는 정보기술(IT)이 해커들에게도 좋은 수단이 된다는 점이다. 해커들은 인터넷 암호화 프로토콜인 SSL/TLS 방식을 사용해 악성코드를 전파한다. 정보를 보호하기 위해 만들어진 SSL/TLS는 최근들어 해커가 전송하는 악성 URL 및 악성코드를 숨기기 위한 용도로 악용되고 있다. SSL/TLS 암호화를 이용해 악성코드를 전송하면 네트워크를 감시하는 보안장비들은 암호를 풀지 않는 이상 문제가 있는지 여부를 판별할 방법이 없다. 클라우드 보안 전문 기업인 Z스케일러는 APT 공격의 54%가 SSL/TLS 암호화를 사용한다고 보고했다. 암호화된 통신을 복호화할 수 있는 기술을 도입해 암호화 된 e메일·웹·P2P·소셜미디어(SNS) 통신도 점검해야 한다는 의미다.



알파고 이후 국내에서도 관심을 끌고 있는 인공지능(AI)은 해커들 사이에서도 열풍이다. 해커들은 악성코드를 직접 유포하는 것이 아니라 자동 시스템을 개발하는 추세다. 시스템이 스스로 공격 대상들의 정보를 분석해 악성 URL을 클릭하거나 악성 e메일을 내려받게 유도하는 제목 및 내용을 자동으로 만들어내는 것이다. 시간과 비용이 많이 드는 APT 공격의 1단계와 2단계를 줄일 수 있게 됐다는 의미다. 이는 방어자에게 큰 위협이다.



그러나 달리 생각하면 자동화된 악성코드는 오히려 방어하기에 더 좋을 수도 있다. 자동화된 악성 e메일, 악성 URL 링크는 패턴화돼 있다. 그래서 시스템이 대상을 현혹하기 위해 만들어내는 콘텐트 패턴만 잘 파악하면 얼마든지 이를 검열하고 차단할 수 있는 것이다. 더욱이 인공지능이 아무리 뛰어나다고 해도 아직까지 사람보다는 어설프다. 그렇기 때문에 콘텐트 작성 패턴만 파악한다면 사전에 이런 공격을 탐지해 차단할 수 있다.



이런 대응에도 불구하고 APT 방법을 활용한 해킹사건은 발생할 수 있다. 그래서 사후 대응이 중요하다. 빠른 사후 대응을 위해서는 전체적인 관점에서 취약점이 어디에서 발생했고 어떤 경로로 침투했는지를 파악하는 것이 중요하다. 그런 다음 취약 부분을 빠르게 차단해서 2차 공격에 대응해야 한다. 이를 위해 웹·e메일·SNS·P2P 등의 악성코드 유포 경로를 전체적인 관점에서 모니터링 할 수 있는 통합관제시스템이 필요하다. 통합관제시스템을 이용하면 악성코드 전파단계에서 어떤 경로로 해킹 공격이 발생했는지를 파악하고 주변으로 감염 시스템이 확산하는 경로도 추적해 방지할 수 있기 때문이다.



 



유성민IT칼럼니스트

구독신청

AD
온라인 구독신청 지면 구독신청

PHOTO & VIDEO

shpping&life

많이 본 기사

댓글 많은 기사