18일 ISEC2013에서 파이어아이코리아 김현준 이사가 익스플로잇 코드를 이용한 APT 공격 사례에 대해 소개하고 있다

[아이티투데이 성상훈 기자] 자신의 e메일로 한 통의 메일이 도착한다. 제목부터 시장조사에 관한 지극히 평범한 e메일이다. 첨부된 엑셀 파일 역시 평범한 내용. 그러나 이 파일을 여는 순간 이 사용자는 악성코드에 감염된다. 자신의 윈도7기반의 PC는 보안백신(MS 시큐리티 에센셜)이 설치되어 있음에도 말이다.

이는 18일 삼성동 코엑스에서 열린 ‘ISEC 2013(국제 사이버 시큐리티 컨퍼런스)’에서 파이어아이코리아 김현준 이사가 APT 공격에 대한 일부 사례를 시연한 내용이다.

해킹 공격자는 이를 통해 자신의 C&C서버를 통해 피해자의 PC에서 입력되는 모든 것을 파악한다. 피해자가 기업의 중요한 관리자 위치에 있다면 중요한 아이디나 패스워드가 유출되는 것도 순식간이다.

이같은 공격 방법은 익스플로잇(Exploit) 코드를 이용한 공격사례중 하나다. 이는 비 실행파일(그림파일, 문서 등)에 악성코드를 심어 표적에게 보내는 해킹 공격 방법을 말한다. 재밌는 것은 시연에 사용된 윈도7 PC가 가장 최신의 보안패치와 무료긴 하지만 최신 백신이 설치되어 있음에도 이를 감지하지 못했다는 점이다.

김현준 이사는 익스플로잇 방식은 의외로 탐지가 어렵다고 주장했다. 기존 보안 솔루션은 '실행파일' 위주로 분석하기 때문에 비실행 파일은 탐지 자체가 힘들다. 또한 특정 형태의 접속이나 애플리케이션이 동반되지 않으면 아예 작동하지 않는다.

예를 들어 악성코드가 심어져 있는 특정 웹페이지를 정해진 버전의 웹 브라우저로 접속시 악성코드가 심어지는 경우 이에 해당한다. 이메일로 심어진 악성코드는 공격자가 설정해놓은 시간동안 잠복기를 거치는 경우도 마찬가지다.

때로는 사용자의 특정한 마우스 움직임이나 키보드 움직임없이는 동작하지 않기도 한다. 실행 파일 위주로 분석하는 기존 보안솔루션이 이를 탐지 하지 못하는 것은 이런 이유에서다. 김 이사는 이같은 공격에 대한 대응으로 시스템 전반에 나타나는 행위를 탐지하는 행위기반 방식이 가장 적절하다고 주장했다.

김 이사는 “APT공격에 대한 대응의 핵심은 ‘탐지’에 있다. 하루에도 수십만개의 새로운 파일들이 웹 상에 돌아다니고 있는데 언제 자신의 시스템에 침투할 지 모르는 것 아닌가. 이중에 악성코드를 찾아내라고 하는 것은 불가능에 가깝다”며 “익스플로잇 공격을 당할때 악성코드인지 아닌지 탐지할 수 있는 방법은 시스템 전체의 행위를 감시하는 '행위기반' 방식이 가장 유효하다"고 말했다.

저작권자 © 디지털투데이 (DigitalToday) 무단전재 및 재배포 금지