모든 산업군 관심보이며 내년 200억 원 대 시장 예상

지능형 지속위협(APT) 공격이 확산되고 있는 가운데 국내외 보안업체가 APT대응 솔루션을 출시에 열을 올리고 있다.
APT(Advanced Persistent Threat; 지능형 지속위협)란 군사 전술에서 장기간에 걸쳐 지능적으로 공격하고 위협하는 전략을 일컫던 말이다. 하지만 최근 들어 APT의 의미는 기존 알려지지 않은 ‘unknown’ 형식으로 교묘하게 위장 잠입해 명확한 목표와 타깃을 갖고 해킹을 시도하는 유형까지 망라하는 의미로 자리 잡고 있다.
2010년 구글이 해킹되면서 알려진 APT공격은 국내에서는 작년 농협과 현대캐피탈 등 대형 사건들의 주원인으로 지목되기도 했다.
이에 따라 국내 시장에서도 지난 2010년도 APT라는 용어가 보안업계에서 상용화되기 시작하며 관련 솔루션들이 출시되고 있다. APT대응 시장현황과 관련 업계의 대응 방안 및 계획에 대해 알아봤다.

이지혜 팀장 jh_lee@ciociso.com

기술개요
1. 시장동향
2. 기술동향
3. 각 사별 솔루션 특징(안랩, 트렌드마이크로, 파이어아이)

1. 시장동향  

APT, 대기업 보안도 쉽게 관통

과거 데이터 유출과 사용자 환경을 무력화 시키는 디도스(DDos), 안티 바이러스 등이 해킹에 대한 대비 방법이었다면, 소수/ 알려지지 않은 공격/ 원하는 시기에 특정한 데이터만 유출하는 공격으로 진화된 것이 바로 APT다.
즉 알려지지 않은(unknown) 행위기반들이 정상 트래픽으로 인지돼 사용자 네트워크 환경에 들어와 기존 대응 방안으로는 대처할 수 없기 때문에 수요 시장 역시 상승하고 있는 것이다. 관련 업계 전문가들은 APT대응 솔루션 시장이 올해 100억 원대 규모에서 내년 200-300억 원대로 커질 것으로 내다보고 있다.
APT공격의 전형적인 수법은 특정 기업의 특정 개인에게 바이러스가 첨부된 표적형 메일을 보내는 공격이다. 이를 위해 공격 대상 기업을 정한 후 첩보 활동을 통해 수개월에 걸쳐서 타깃이 되는 기업의 정보를 수집하고 협력업체의 제안서 등을 가장해 바이러스를 첨부한 메일을 송부하게 된다.
만약 PC사용자가 이 파일을 열어 백 도어 프로그램 등을 설치하게 되면 공격자는 사내 정보를 추가적으로 수집하며 사내 중요 DB 등에 침투할 수 있는 것이다. 이는 점차 해커들이 실질적인 이득, 즉 ‘money’를 직접 창출할 수 있는 가치 있는 정보자산에 집중하고 있기 때문이다.
여기서 정보자산이란 마케팅을 위해 암암리에 거래되는 고객 개인정보와 경쟁사에게 직접적인 혜택을 줄 수 있는 특허기술과 같은 지적 재산권 정보가 대표적이다.
과거 구글, RSA, 어도비, 인텔, 모건 스탠리 등 해외 유명기업들을 포함해 국내에서 역시 작년 발생한 대형 보안 사고가 이러한 APT공격에 의해 발생됐으며 향후 비슷한 공격 또한 예상되고 있다. 또한 APT 공격의 심각성은 상대적으로 보안 인력 및 보안 시스템이 잘 갖춰진 대기업에서 역시 속수무책으로 뚫릴 수 있다는 데 있다.
이러한 해킹이 성공할 수 있었던 가장 큰 이유는 해커가 알려지지 않은 OS 및 애플리케이션의 취약점을 이용하거나 백신(AV)에서 탐지하지 못하는 해로운 패턴의 악성코드와 보안패치가 이뤄지기도 전에 공격 목표에 접근하는 제로데이(zero-day) 취약점을 사용하기 때문이다.

2. 기술동향  

기존 시그니처 기반으로 대응 미흡

APT 공격은 타깃을 정확히 하는 목표를 띠고 있기 때문에 다양한 공격기법을 이용하는 것이 특징이다. 이는 공격자의 목표가 설정되면 끊임없이 공격을 받게 돼 불특정 다수를 노린 해킹 공격과는 다르다.
보안업계 측은 APT가 신종 기술과 장기간에 걸친 공격 전략을 통해 접근하기 때문에 단일 솔루션 몇 개로는 막을 수 없을 것으로 전망하며, 이미 알려진 공격을 철저히 대비함과 동시에 장기적 관점에서의 대응 태세가 필요하다고 강조하고 있다.
APT공격에 의한 시스템 파괴 및 정보유출의 심각성으로 이에 대한 대응이 절실하지만 기존 시그니처 및 평판 기반의 보안 솔루션으로는 지능적인 표적 공격인 APT를 막을 수 없기 때문이다.
이에 따라 동적인 분석을 제공하는 가상실행환경(비시그니처 기반)의 솔루션으로 알려지지 않은 공격을 방어하는 필요성도 커지고 있다.
한편 APT에 대한 대응 솔루션 적용이 우선시 돼야 하는 점도 중요하지만, 사용자 기업의 관련 인력 및 프로세스 등 보안 영역의 전반적인 업그레이드도 요구되고 있다.

예를 들어 일부 기업/기관에서는 악성코드에 대한 이해자체가 충분하지 않은 인력이 보안을 담당해 APT에 대한 일차적 대응이 늦어지는 사례가 발생하고 있다.
APT의 주요 타깃이 대기업, 금융/인터넷, 하이테크, 정부기관 순으로 집중되며 총 산업군을 망라한 대응 방안 모색이 시급한 실정이다.
국내 APT대응 솔루션을 취급하는 기업들을 살펴보면 안랩과 트렌드마이크로, 파이어아이, 윈스테크넷 등을 들 수 있다.
안랩은 올해 초 클라우드 기반 사전 분석 기술과 자체 가상 머신을 이용한 악성행위 분석기술을 탑재한 ‘트러스와처 2.0’을 선보이며, 사회공학적 해킹을 초기단계부터 근원적으로 차단할 수 있는 것을 강점으로 삼고 있다.
트렌드마이크로는 ‘TMS’로 알려진 악성코드와 의심스러운 악성코드를 탐지해 위협을 조기에 탐지하며 전용 엔진과 샌드박스로 정밀 분석해 위협을 감지한다.
감염된 PC를 자동으로 치료해 좀비PC로 인한 정보유출 사고를 방지하며, 모니터링을 통해  잠재된 위협을 조기에 대처하고 탐지, 분석해 치료와 보고서를 제공하고 있다. TMS는 탐지, 분석, 치료와 보고까지 원스톱으로 제공해 종합적인 APT 보안이 가능하다.
파이어아이는 APT 공격에 대응하는 기술로 웹메일 파일 멀웨어 프로텍션 시스템(MPS) 상에 실제와 같은 가상 PC애플리케이션 환경을 구현하는 ‘가상실행엔진(Virtual eXecution Engine, VXE)’ 기술을 내놓고 있다.
이는 해커의 명령제어(C&C)서버를 추적해 악성코드에 감염된 PC와 C&C서버의 접속을 차단하는 기능까지 제공하며, 파이어아이는 올해 3월 한국지사를 설립하고 본격적인 구축사례 확보 경쟁에 뛰어들고 있다.

3. 각 사별 솔루션 특징

안랩 - “클라우드 기반의 사전 분석 기술”

안랩은 ‘트러스와처 2.0’을 통해 시장을 공략하고 있으며 여기에 APT공격 대응 신기술을 탑재했다. 신기술인 ‘DICA (Dynamic Intelligent Contents Analysis) 기술’은 클라우드 기반 사전 분석 기술과 자체 가상 머신을 이용한 실제 악성 행위 분석 기술이다.
이상국 안랩 팀장은 “최근 악성코드가 문서 파일에 포함되어 있을 경우 문서 파일의 변경에 따라 손쉽게 변종 악성코드를 만들 수 있고, 기존의 행위기반기술로도 탐지가 힘들다”며 “또한 주의를 기울이지만, 첨부된 문서 파일에는 경계심이 약한 점 역시 문서 파일이 APT 공격에 악용되는 사례가 빈번하다”고 설명했다. 안랩이 장기간 심혈을 기울여 개발한 DICA 기술은 바로 이러한 악성 문서 파일(Unknown Document Malware)를 정밀하게 검사하고 지능적 탐지 알고리즘에 의해 차단한다는 설명이다.
이 팀장은 “DICA 기술은 워드, 아래아한글, PDF, 플래시 플레이어, 문서 및 스크립트 등의 비실행 파일 포맷(non-executable format)의 리더나 편집기의 종류에 상관없이 악성 문서 파일을 검출한다”며 “향후 발견될 취약점을 이용한 변종 악성 파일에도 근본적으로 대응할 수 있을 것이다”라고 전망했다.
그는 “APT방어 솔루션은 아직 제품의 형상이 완성되지 않고 진화중인 제품으로 실제 다양한 APT사례를 경험하는 고객 욕구사항이 반영된 기능 SET들이 추가될 것으로 보인다”며 “defence-in-depth 전략의 연장선상에서 기존 보안 솔루션들과의 연계를 얼마나 효과적으로 수행할 수 있을지 고민해 봐야 한다”고 설명했다. 

관련 솔루션 - ‘트러스와처 2.0’
안랩의 악성코드 분석 기술과 네트워크 보안 기술이 융합된 보안 솔루션으로 세계 최초로 APT(Advanced Persistent Threat) 공격 대응 신기술을 탑재했다.
신기술인 ‘DICA(Dynamic Intelligent Contents Analysis)’는 클라우드 기반 사전 분석 기술과 자체 가상 머신을 이용한 실제 악성 행위 분석 기술이다.

트렌드마이크로 - “전용엔진과 샌드박스 통한 정밀 분석”

트렌드마이크로는 ‘TMS(Threat Managment Solution)’를 통해 알려진 악성코드뿐 아니라 네트워크 행위 기반으로 의심스러운 통신 및 알려지지 않은 악성코드를 탐지해 은밀하게 침입해오는 예상할 수 없는 위협에 조기에 대응한다는 방침이다.
유승주 트렌드마이크로 팀장은 “TMS는 악성 트래픽을 탐지 및 분석하는 TDA, 치료를 위한 TMTM, 정밀 분석 시스템 DTAS, 보안 포탈 TMSP로 구성된다”며 “탐지서버인 TDA (Threat Discovery Appliance)는 네트워크 전반에 대해 APT 또는 유사 타깃 공격에 대한 탐지 및 모니터링 기능을 제공하며, 미러링을 통해 전체 트래픽을 수집하고 상관관계를 분석해 악성사이트 접속/악성코드 다운로드/좀비PC의 C&C서버 접속 및 악성코드 행위를 탐지한다”고 설명했다. 또한 치료서버인 TMTM(Trend Micro Threat Mitigator)는 TDA를 통해 탐지 및 분석된 정보를 기반으로 엔드 포인트에 설치돼 있는 에이전트에 치료 명령을 전달한다.
유 팀장은 “분석서버인 DTAS (Dynamic Threat Analysis System)의 경우 수집된 악성코드와 의심파일을 1차적으로 멀티 AV 엔진을 통해 분석하며, 2차적으로 샌드박스 기능(Virtual Analysis)을 통해 가상환경에서 시뮬레이션 해 검증 및 분석된다”며 “TMSP(Threat Management Service Potal) 역시 TDA와 TMTM을 통해 탐지되고 차단된 로그를 분석해 TMSP로 전송하며 이를 통해 현재 기업의 악성코드 감염 상태 및 감염 경로, 치료 현황을 요약해 파악할 수 있다”고 설명했다.

관련 솔루션 - ‘트렌드마이크로 TMS’
이미 알려진 악성코드뿐 아니라 네트워크 행위 기반으로 의심스러운 통신 및 알려지지 않은 악성코드를 탐지해 예상할 수 없는 위협을 조기에 제거한다. 전용 엔진과 샌드박스를 통한 정밀 분석으로 실질적인 위협을 검증하고, 이를 바탕으로 감염된 PC를 자동으로 치료해 좀비PC로 인한 정보유출 사고를 미연에 방지한다.

파이어아이 - “가상실행 엔진으로 더 빠른 대응 신속성”

파이어아이는 ‘MPS(Malware Protection System)’를 통해 기존 보안 솔루션의 시그니처 기반으로 탐지하지 못하는 알려지지 않은 공격들을 적은 오탐율로 정확히 탐지 및 차단한다는 방침이다.
전수홍 파이어아이 지사장은 “시그니처 기반 방어 기능을 교묘히 빠져나가 대다수 네트워크를 공격적으로 손상시키는 목표 공격들에 강력히 대응 하고자 한다”며 “특히 가상 환경 내 있는 제로데이 공격의 상태 저장 분석은 로컬 네트워크를 보호하기 위한 실시간 악성 프로그램 보안 콘텐츠와 파이어아이 Malware Protection Cloud 가입자들에게 공유할 수 있는 정보를 제공한다”고 전했다.
파이어아이의 대표 APT대응 솔루션으로는 웹/이메일 MPS가 있다. 웹 MPS는 인터넷 관문에서의 APT공격을 방어하며, 악성코드 탐지 및 C&C를 차단한다.
또한 이메일 MPS는 이메일 서버 앞단에 위치해 이메일 첨부 파일 및 본문 URL 등 이메일에 의한 APT공격에 대응하게 된다.
전 지사장은 “파이어아이 APT 장비에 대한 로그 통합 및 상관관계 분석 솔루션인 CMS(Central Management System) 및 파일/URL분석을 위한 포렌식 솔루션인 MAS(Malware Analysis System)으로 APT 공격에 대응할 전략이다”라고 설명했다.
파이어아이는 가상실행 엔진(VXE: Virtual Execution Engine)을 기반으로 실시간 탐지 및 차단할 수 있는데 초점을 맞추고 업계를 공략한다는 방침이다.

관련 솔루션 - ‘MPS시리즈’
웹MPS(MPS: Malware Protection System), 이메일MPS는 VXE와 콜백 필터 기술을 사용한다. 또한 MPC(Malware Protection Cloud)를 통해 글로벌 보안 인텔리전스(악성코드 및 C&C 패턴 정보)의 실시간 업데이트로 이러한 형태의 APT 공격을 가장 효과적으로 탐지 및 차단할 수 있다.