1회성 정보탈취·시스템 파괴 넘어 은밀한 침투로 공격 지속…국가간 첩보활동·기간시설 파괴 등 목표 수행
정상적 이메일·메신저 통해 침투목표에 악성코드 심어 원격제어
1년 이상 내부망 잠복 기밀 가로채
‘제로 데이’취약점 노려 공격
정상적 트래픽경로 사용 방어 불가
반국가 단체 등 연루 심각성 커
#1. 올해 1월 구글을 비롯해 어도비, 야후 등 34개 글로벌 기업들이 발칵 뒤집어졌다. 전혀 눈치채지 못하는 사이에 자사의 첨단 기술 관련 데이터가 줄줄 새나가고 있었던 것이다. 기업 임직원 메일로 링크를 첨부해 수신자들이 링크를 클릭한 사이 악성코드가 컴퓨터에 잠입해 네트워크를 감염시켰다. 이를 서버에서 원격으로 제어하며 내부 주요 데이터들을 해킹하는 방식이었다. 보안업계는 이를 ‘오퍼레이션 오로라’ 공격이라고 불렀다.
#2. 한 달 뒤에도 유사한 방식의 해킹 공격이 재현됐다. 카자흐스탄, 대만, 미국 등의 에너지기업을 겨냥한 악성코드가 침투해 내부망 주요 시스템을 해킹한 뒤 제조 및 영업 관련 기밀 데이터를 빼내갔다. 최소 1년 이상 내부망에 잠복해 회사 기밀을 가로챈 이 공격은 ‘나이트 드래곤’이라 불린다.
#3. 올 8월에는 나이트 드래곤보다 더 치밀하고 조직적으로 해킹한 사고가 터졌다. 공격 기간만 무려 5년 6개월에 공격을 받은 곳은 한국을 비롯한 각국 정보기관과 기업체, 언론사, 연구소, 정치단체, 금융기관 등 70군데가 넘는다. 해킹 역사에 기록될 만한 이 공격은 ‘오퍼레이션 쉐이드 랫’이다.
이 세 가지 공격은 이름은 다르지만 패턴은 모두 유사한 해킹으로, 올 들어 부쩍 늘고 있는 신종수법이다. 기존 해킹 테크닉보다 한 수 위인 데다 공격이 지속적으로 진행되고 특정 대상을 표적으로 두고 해킹에 들어간다고 해서 APT(Advanced Persistent Threat)라고 불린다.
보안업계에서는 국내의 경우 옥션, 현대캐피탈, 농협, SK커뮤니케이션즈 등이 당했던 해킹 수법이 바로 APT에 의한 공격으로 파악하고 있다. 최근 1300만명이 넘는 회원정보가 유출된 넥슨의 메이플스토리도 APT에 의한 피해를 입은 것으로 추정되고 있다.
기업들마다 보안의 중요성을 인식하고 내로라하는 화이트해커들을 고용해 자사 보안수준을 한 단계 올렸지만, 해커들도 감지하지 못하는 기술로 기업의 보안기능을 마비시키고 주요 데이터를 탈취하고 있어 현재로선 알고도 못 막는 공격으로 알려져 있다.
APT가 기존 해킹 공격과 가장 차별화된 점은 매우 지능적(Advanced)이라는 것이다. 통상 프로그램에 문제가 발생한 것을 인지하고 난 뒤 이에 대응하기까지는 일정한 시간차가 나타날 수밖에 없다. 이를 악용해 보안벽을 깨는 각종 고급기술을 가하는 방식이다.
즉, 보안에 무방비로 노출되는 일명 제로데이라 불리는 취약점을 파고드는 기술이다. 현재까지 알려진 최악의 APT 공격이자 ‘사이버 미사일’로도 불리는 스턱스넷은 4개의 제로데이를 공략한 것으로 나타났다.
상대가 의식하지 못할 정도로 은밀하고도 천천히 특히 지속적(Persistent)이라는 점에서 위협의 강도가 세다. 공격 대상 기업 및 기관에 대한 사전 정보를 수집하기 위해 최적의 소셜엔지니어링 기법을 개발해 주로 이메일이나 메신저 등을 통해 악성코드를 서서히 심는다.
이제까지는 순식간에 목표를 공격해 필요한 정보를 탈취했다면 APT는 표적으로 삼은 목표에 거점을 마련한 후 은밀히 활동하면서 새로운 기술과 방식이 적용된 보안 공격들을 지속적으로 가하는 셈이다.
또 지적재산권이나 고객정보 등을 빼내는 단순 산업스파이 측면의 해킹을 넘어서, 국가간 첩보활동과 기간시설 파괴 등을 목적으로 한다는 점에서 위험 수준이 높다고 볼 수 있다. 여기에 배후로 첩보조직이나 반국가 단체 등이 연루되어 조직적인 후원이 뒷받침돼 그 심각성이 더욱 클 수밖에 없다.
때문에 기존 보안솔루션으로는 방어가 불가능하다는 것이 보안업계의 중론이다. 안철수연구소 설명에 따르면 APT는 정상적인 트래픽 경로를 사용하는 경우가 대부분이라 USB 등 네트워크를 이용하지 않는 침투는 방어가 불가능한 것으로 나타났다.
특히 최신 엔진의 안티 바이러스 제품으로 테스트한 뒤 악성코드를 배포하기 때문에 표적 공격에 사용되는 악성코드는 수집에 한계가 있다는 것이다. 나아가 정상적인 메일이나 웹사이트 등을 통해 악성코드 배포가 가능해 이를 거쳐 표적에 가해지는 공격은 차단하기 어렵다는 맹점이 있다.
정태일 기자/killpass@heraldcorp.com
