[뉴스토마토 류석기자] 최근 APT(지속위협)공격이 빈번하게 발생하고 있는 가운데 보안업계에서는 이에 대응하기 위한 솔루션을 내놓고 치열한 경쟁이 펼쳐지고 있다.
24일 업계에 따르면 APT공격은 이미 생활속에서 우리가 눈치 채지 못하게 지속적이고 은밀하게 일어나고 있다. 2011년 농협 전산망 마비 사태, SK커뮤니케이션즈·넥슨 해킹 사태, 지난해 3월 언론사·금융기관 내부망을 뚫은 '320대란'의 공통점은 APT공격의 결과라는 것이다.
◇해커가 기업 전산망에 침투해 정보를 빼내고 있다.(사진제공=안랩)
◇APT공격의 최종적인 목적은 '돈'
APT공격은 특정 사람이나 기업을 표적으로 삼고 지속적으로 사이버 공격을 감행해 기업의 중요 정보나 개인의 금융정보를 빼내는 공격을 말한다. 공격자가 시간과 비용을 들여 정교하게 짜여진 공격수법을 활용해 당신의 개인정보와 지갑을 노리는 것이다.
한 보안업계 관계자는 "APT공격은 사이버 범죄를 위해 정교하게 가공된 공격이다"라며 "해커가 APT공격 시도하는 목적은 중요한 데이터를 유출하고 그 데이터를 판매하는 것"이라고 말했다. APT공격의 최종 목표는 정보를 판매해 얻는 돈이라는 설명이다.
APT공격의 방법은 다양하다. 악성코드를 심은 이메일을 경품당첨 안내 메일, 결혼식 청첩장 등으로 위장해 사용자들이 열어보게 만드는 공격은 흔하게 발생하는 APT공격 방식이다. 또 악성코드나 멀웨어를 담은 USB를 통해 국가 기간 시스템에 감염시켜 블랙아웃 사태를 일으키기도 한다.
가장 대표적인 APT공격 사례는 2010년에 이란에서 있었던 '스턱스넷' 사례다. 이 공격의 목표는 이란의 핵정유시설 시스템을 악성코드에 감염시켜 오작동을 일으키거나 시스템을 마비시키는 것이었다. 이때는 악성코드를 담은 USB를 내부자에게 제공해 USB를 꽂는 즉시 시스템을 악성코드에 감염시키는 방식이 사용됐다. 이러한 APT공격의 일종인 스턱스넷 공격을 통해 이란의 핵 발전시설의 핵발전이 중단되기도 했다.
이렇듯 APT공격은 단순하게는 우리의 개인정보나 금융정보를 탈취하고 있지만, 더 나아가서는 국가 기간망을 파괴할 수 있을 정도록 가공할만한 위력을 갖고 있는 공격이다.
APT공격 대응 전문업체인 파이어아이의 '2013 지능형 위협 보고서'에서는 우리나라가 2013년 한 해 전체 4198 건의 APT공격 중 417건의 공격을 받아 미국에 이어 세계 제 2위의 APT 공격 타깃 국가로 나타나기도 했다.
◇APT 공격 과정.(사진제공=안랩)
◇APT 대응 솔루션 시장 경쟁 '치열'
이에 국내 각 기업들이나 기관들에서는 다양한 사이버 위협에 대응하기 위해 보안 시스템을 구축하고 있다. 하지만 정작 APT 공격에 특화된 솔루션을 활발하게 도입하고 있지는 않은 상황이다. 한해 국내 APT공격 대응 솔루션 시장 규모는 100억 안팍으로 추정되고 있다. 국내 APT 대응 솔루션 시장은
안랩(053800), 파이어아이, 팔로알토 네트웍스가 각축전은 벌이고 있는 모습이다.
팔로알토 네트웍스는 가상화 환경을 기반으로 악성코드를 실시간으로 탐지하고 제어할 수 있는 ‘APT(지능형 지속 위협)’ 대응 솔루션인 '와일드파이어(WildFire)’를 내놓고 국내 시장의 문을 두드리고 있다. 이 제품은 의심스러운 파일을 가상의 샌드박스에서 행위기반 분석을 진행하여 악성코드로 최종 확인되는 경우 30분 내에 해당 악성코드를 탐지·차단할 수 있는 시그니처를 자동 생성하는 것이 특징이다.
팔로알토 네트웍스 관계자는 "와일드 파이어의 국내 고객은 20곳 정도 된다"라며 "아직은 국내 APT 대응 솔루션 시장에 뛰어든지 얼마 되지 않아 큰 성과는 나고 있지 않지만 점차적으로 시장에서의 점유율을 높여가고 있는 상황"이라고 말했다.
안랩의 APT 대응 솔루션은 '트러스와처'다. 안랩은 국내 보안기업 중에서는 거의 유일하게 APT대응 솔루션 시장의 주요 업체로 인정받고 있다.
신종·변종 악성코드에 대응하기 위한 '트러스와처'의 행위 기반 분석 기술은 단순히 해당 파일의 행위만 분석하는 것이 아니라 클라우드, 시그니처, 파일간의 연관관계 분석을 통해 악성 여부 판정을 한다.
또 이 제품은 MS office(엑셀, 워드, 파워포인트), adobe PDF, 한글(hwp) 등과 같은 문서형 악성코드를 행위 발생 여부와 무관하게 분석 가능한 ‘동적 콘텐츠 분석(DICA)’ 기능을 제공하는 것이 다른 제품들과의 차별점이다.
파이어아이는 국내·외 APT 대응 솔루션 시장을 선도하는 업체로 최근 위협 분석 솔루션인 'TAP(Threat Analytics Platform)'을 발표하고 국내 APT 솔루션 시장에서의 입지를 공고히 하고 있다.
'TAP'은 APT 공격에 대한 전반적인 가시성 제공에 탁월하다는 평가다. 악성 코드 자체에 대한 분석이 아닌 APT 공격의 전반적인 TTP(Tactics, Technics, Procedure)를 제공한다. 이를 통해 공격의 시작부터 확산 과정에 대한 가시성을 제공해 발생 중인 공격의 방어 뿐 아니라 향후 발생할 공격의 예측도 가능하게 해준다.
박희범 팔로알토 네트웍스 대표는 "APT 공격은 해커가 지속적으로 피해를 주는 공격이기 때문에 기업이나 기관에 굉장히 큰 타격을 줄 수 있는 공격"이라며 "APT공격에 효과적으로 대응하기 위해서는 악성코드에 대한 보호 뿐 아니라 탐지도 동시에 가능한 솔루션으로 대응 하는 것이 필요하다"라고 말했다.