단순 해킹 아닌 ‘작전’… 지능형 지속 위협 [보안TMI] | 종합

26.01.25 1,022 읽음

단순 해킹 아닌 ‘작전’… 지능형 지속 위협 [보안TMI]

IT조선

IT조선은 독자들이 이해하기 어려웠던 보안 용어와 개념을 보다 쉽게 풀어 설명하는 ‘보안TMI(Too Much Information)’ 코너를 새롭게 마련했습니다. 매주 주제를 선정해 개념은 물론 기사에 담지 못했던 배경과 맥락까지 짚어드립니다. 독자들이 보안 관련 뉴스를 보다 명확하게 이해할 수 있도록 돕겠습니다. [편집자 주]

사이버 공격을 떠올리면 해커가 몇 줄의 명령어를 입력해 순식간에 시스템에 침투하거나, 모니터 속 검은 창에 메시지가 쏟아지고 수많은 경고창이 뜨면서 서버·시스템이 마비되는 장면을 상상하기 쉽다. 사이버 보안 사고를 다룬 영화나 드라마가 그려낸 이미지다. 그러나 실제 사이버 공격, 특히 국가 중요 기관·기업에 치명적인 피해를 입히는 치밀한 해킹 수법은 이와는 다소 차이가 있다.

해커들은 이른바 지능형 지속 위협(Advanced Persistent Threat; 이하 APT)이라 불리는 다단계 공격 작업을 수행한다. 사전에 치밀하게 목표와 대상을 선정하고, 침투를 위해 사회공학적 공격 등 다양한 방법을 동원한다. 원하는 정보와 이익을 얻을 때까지 장기간 은밀하게 잠복하며, 해킹이 성공한 뒤에도 완전히 철수하지 않고 백도어(Backdoor) 등 언제든 다시 돌아올 수 있는 통로를 남긴다.

즉 APT는 단발성 공격이 아니다. 대상 선정부터 계획, 침투, 정보 유출, 그 이후까지 장기간에 걸쳐 완전한 장악과 지속적 피해를 목표한다. 시간과 맥락을 축적해 나가는 과정형 공격이 APT라 할 수 있다.

흔하진 않지만 최악의 예를 들어보면 이렇다. 공격자는 먼저 목표 조직을 선정하고, 관찰부터 시작한다. 홈페이지와 공개된 자료, 채용 공고, 임직원의 공개된 SNS 활동 등을 훑어보며 조직 구조와 업무 흐름, 내부 인간관계 등을 하나씩 맞춰본다. 어떤 부서가 어떤 메신저·메일·협업툴 등 IT시스템을 쓰는지, 외부와의 접점은 어디인지, 누가 핵심 정보를 다루는지 등에 대한 정찰이 이 단계에서 이뤄진다. 이런 준비 과정에만 수개월이 소요되지만, 목표한 바와 지원 규모에 따라 해커들은 충분히 인내심을 갖는다.

정찰이 끝나면 공격자는 불특정 다수가 아닌, 특정 부서나 담당자를 겨냥한 맞춤형 피싱 메시지를 만든다. 평소 실제 수행하는 업무 관련 메일과 거의 똑같은 제목과 문장, 내부에서 쓰는 표현, 자연스러운 첨부파일이나 링크가 동원된다. 메일 한 통, 파일 하나가 공격의 시작점이 된다. 수신자가 의심 없이 이를 열어보면, 마침내 공격자는 내부로 들어올 수 있는 발판을 확보한다.

APT의 끈질긴 점은 침투 이후에 더 명확히 드러난다. 곧바로 데이터를 유출·변조·삭제하고 이를 빌미로 금전을 요구하지 않는다. 대신 조직 내 정상 사용자처럼 시스템을 이용하며 조금씩 접근 권한이 높은 계정을 추가로 확보해 나간다. 내부 서버·시스템을 오가며(Lateral Movement·측면이동) 정보를 수집하는 이 과정은 최대한 눈에 띄지 않게 진행된다.

이 단계에 이르면 로그와 네트워크 트래픽이 정상 업무 활동과 섞여 흐르기 때문에 기존 보안 장비만으로는 이상 징후를 구분하기 어렵다. 정보는 한 번에 대량으로 빠져나가지 않고, 대신 장기간에 걸쳐 소량씩 외부 유출되는 방식으로 이뤄진다. 피해 조직은 내부에 공격자가 있다는 사실조차 인지하지 못한 채 일상적 업무를 이어간다.

이 때문에 APT는 흔히 해킹이 아니라 작전에 비유된다. 목표를 정해 장기간 준비하고, 실패 가능성을 낮추며, 들키지 않도록 행동하는 방식이 흡사 군사 작전 수행과 같기 때문이다. 실제 APT 공격은 대부분 특정 국가, 기업, 정치·군사 단체 등을 목표로 하기에 공격 배후 역시 그에 준하는 경우가 많다. 글로벌 보안 기업들은 공격 패턴을 분석해 특징을 잡아내고, 라자루스(Lazarus) 그룹이나 킴수키(Kimsuky)와 같은 이름을 붙여 공격 조직을 분류한다. 다만 기술적 증거만으로 배후를 단정하기는 어려워 공식적으로는 ‘국가 배후 추정’이라는 표현을 쓴다.

APT 대응은 일반적인 보안 사고보다는 좀 더 까다롭다. 단순히 ‘막았느냐, 뚫렸느냐’의 문제가 아니라 ‘얼마나 오래 내부에서 움직였느냐’의 문제로 확대되기 때문이다. 대응의 목표 역시 침투 자체를 100% 차단하는 것보다는, 내부에서 작전을 이어가지 못하도록 공격자의 이동과 확장을 차단하는 데 있다.

그 출발점으로 꼽히는 것이 권한 최소화다. APT 공격은 하나의 계정을 탈취한 뒤 그 계정을 발판 삼아 내부를 이동하는 방식으로 전개된다. 계정이 업무와 무관한 권한까지 갖고 있다면, 공격자는 별다른 기술적 공격 없이도 중요 시스템에 접근할 수 있다. 반대로 계정별 권한이 업무 단위로 제한돼 있으면, 침투에 성공하더라도 이동 가능한 범위는 자연스럽게 좁아진다. 내부에 들어왔지만 쉽게 작전을 확장하기 어려운 상태가 된다.

다음은 이상 행위 기반 탐지다. 규칙이 잘 설정돼 있다면 수상한 움직임을 조기에 포착할 수 있다. APT 공격자는 정상 사용자처럼 행동하려 하지만, 실제 근무자와 완전히 같은 패턴을 유지하기는 어렵다. 실제 근무 시간대와 다른 접속 기록, 타 계정 대비 비정상적으로 잦은 시스템 접근 또는 정보 검색 흔적, 한 사용자가 짧은 시간에 여러 서버를 순차적으로 조회하는 행위 등은 내부 정찰이나 권한 확장 과정에서 나타나는 전형적인 신호다. 이상 행위 기반 탐지는 이런 ‘평소와 다른 움직임’을 기준으로 공격의 지속성을 끊어낸다.

로그 통합 분석도 같은 이유로 중요하다. 단일 시스템만 보면 정상처럼 보이는 행위라도 이메일·계정·메신저 등 복수의 시스템·서버 로그를 함께 놓고 보면 공격자의 이동 경로가 드러날 수 있다. APT는 단서 하나로 드러나지 않고, 여러 흔적이 연결될 때 비로소 모습을 드러내는 경우가 많다.

APT는 일회성 위협이 아니라 장기간 지속되는 위협이다. 조직의 의사결정자와 보안 담당자들은 최악의 경우를 상정하고, 해킹 위협을 상시적으로 관리·감시해야 할 구조적 리스크로 다룰 필요가 있다.

정종길 기자

jk2@chosunbiz.com