기업을 사냥하는 해킹공격들이 확산되고 있고 피해규모도 커지고 있다. 기업 표적 공격은 ‘드라이브바이 다운로드(Drive-by download)’, SQL 인젝션, 악성코드, 스파이웨어, 피싱이나 스팸 등 다양한 공격 기술을 사용한다.
 
APT 공격도 이 같은 기술들을 사용하지만 공격 성공률을 높이고 첨단 보안 탐지 기법을 회피하기 위해 제로데이 취약점 및 루트킷 기법과 같은 고도의 공격 기술을 복합적으로 이용하기 때문에 지능적이고 위협적이며, 당한 기업들도 보안 사고가 터지기 전까지는 APT 공격에 당했다는 사실 조차 모르는 경우가 대부분이다.
 
APT 공격을 다른 표적 공격과 구분짓는 특징들은 다음과 같다.

◇지능적(Advanced)=일반적인 공격 방법과 더불어 APT는 제로데이 취약점이나 루트킷 기법과 같은 고도의 지능적인 보안 위협을 동시다발적으로 이용해 표적으로 삼은 목표에 침투해 은밀히 정보를 빼돌리는 ‘킬 체인(Kill Chain)’을 생성한다.
 
제로데이 취약점이란 프로그램에 문제가 알려지고 난 후 보안패치가 나올 때까지의 시간차를 이용해서 공격하는 것으로, 보안 패치가 나오기 전까지는 각종 보안 위협에 무방비로 노출되는 셈이라 특히 위험하다. 또한 루트킷 기법은 컴퓨터 운영체제가 구동되기 전에 윈도우 컴퓨터의 마스터 부트 레코드(MBR)를 변경해 컴퓨터에 대한 통제권을 획득하는 기법으로, 보안 소프트웨어를 통한 탐지를 어렵게 한다.
 
시만텍 관계자는 “현재까지 알려진 최악의 APT 공격이자 ‘사이버 미사일’로 불리는 스턱스넷의 경우 4개의 제로데이 취약점과 루트킷 기법 등을 종합적으로 이용한 것으로 밝혀졌다”고 설명했다.
 
◇지속적(Persistent)=APT 공격은 보안탐지를 피하기 위해 은밀히, 천천히 움직여야 하므로 일반적으로 긴 시간 동안 행해진다. 다수의 표적 공격이 순식간에 목표를 공격해 필요한 정보를 탈취해가는 이른바 ‘스매시&그랩(Smash and Grab)’형 공격이라면 APT는 표적으로 삼은 목표 시스템에 활동 거점을 마련한 후 은밀히 활동하면서 새로운 기술과 방식이 적용된 보안 공격들을 지속적으로 가해 정보 유출이나 삭제 또는 시스템에 대한 물리적 피해 등 공격자들이 궁극적으로 원하는 목적을 이루는 것이다.
 
◇APT 공격 동기(Motivated)=시만텍 관계자는 “APT는 주로 국가간 첩보활동이나 기간시설 파괴 등의 특정 목적을 달성하기 위해 행해지며, 대부분 배후에 적성국이 후원하는 첩보조직이나 단체가 연루되어 있다”며 “이는 APT가 단순히 정보 유출만을 노리는 것이 아니라 공격자가 지속적으로 표적을 원격 조종하여 정보 유출을 포함해 시스템 운영을 방해하거나 물리적인 타격까지 노리고 있다는 것을 시사한다”고 설명했다.
 
◇APT 공격 목표(Targeted)=지적 재산권이나 가치있는 고객 정보를 가진 거의 모든 조직들이 표적 공격의 대상이라면 APT는 주로 정부 기관이나 기간시설, 방위 산업체, 그리고 전세계적으로 경쟁력 있는 제품, 기술을 보유한 주요 기업들과 이들의 협력업체 및 파트너사들을 노린다.
 
이 같은 특징들에 비추어 볼 때 모든 기업들이 APT의 공격 대상이 아님은 분명하다. 일부 보안 전문가들은 현재 APT 보안 위협이 과대 포장되고 있으며, 사실 대부분의 기업들은 이 공격과 연관이 없다고 이야기 하기도 한다. 다른 한편으로 APT는 장기간에 걸쳐 은밀히 활동하는 목표가 분명한 표적 공격으로 정의되고 있으며, 거의 모든 기업이 표적 공격을 문제 삼고 있는 만큼 다양한 최신 보안 위협에 효과적으로 대응하기 위해서는 APT를 보다 잘 이해할 필요가 있다. [데일리시큐=길민권 기자]