본문으로 바로가기

달봉이는 보안 관련 전문 역할을 해 본 적은 없다. 다만 요즘 보안 관리에 대해서 관심이 많다. 해서 관리자 입장에서 생각해보려고 노력하고 있다. 


다음 같은 농담이 있다. 


질문 : "여러분이 곰에 쫓기고 있습니다. 얼마나 빨리 달려야 할까요?"

답변 : "그룹중에서 제일 느린 사람보다 조금만 빠르게"


가젤이 생각나기도 한다.

2009/04/23 - [달봉이방] - CEO 칭기스칸을 읽고서



그러나 당신이 꿀단지를 가지고 있다면? 곰은 다른 사람은 무시하고 당신만 쫓을 것이다. 이것이 APT 공격이다. ATP 공격자들은 그들이 원하는 것을 가지고 있는 대상을 타켓 삼아서 하는 공격이다. 


경쟁자가 있는 조직은 누구나 APT에 쫓기는 타켓이 될 수 있다. 입찰에 참여하는 조직? 시장 진출을 놓고 경쟁하는 조직? 모두가 APT 공격의 잠재적 대상일 수 있다. 


이들은 조직적으로 움직인다. 정부의 펀딩을 받기도 하고, 다른 기업의 펀딩을 받기도 해서 하나의 "산업"으로 자리잡는 기분도 든다. "산업 도메인" ! 그들의 존재를 이제는 인정하고 그들을 대비하는 자세가 필요하다는 것일지도 모르다. 


APT 공격은 타켓팅한다는 것이 중요하다. 타켓팅된 대상에게 들키지 않도록 조금씩 준비해나간다. 타켓 조직은 공격을 당하는지도 모르게 공격을 당한다. 데이터 유출이 있었던 줄도 모른다. 아래 사례를 보더라도 정확한 공격이 어디에서 왔는지조차도 모른다. 먹고 살기가 힘든 북한인지, 북한에게 누명을 씌운 다른 조직인지. 


기술적으로는 누구나 뚫릴 수 있다. 안되는 것은 없다. 비용 대비 효과의 문제일 뿐이다. 편익 분석 결과 나가는 비용보다 들어오는 이익이 더 크다고 생각될 때는 누구나 APT 타켓이 될 수 있다는 것이다.  


대응에 대한 접근 방식은 두 가지 유형이 있을 것 같다. 외부에서 접근할 수 있는 경로가 다양하거나 또는 몇 개의 레이어가 있는 구조의 네트워크라면 경로와 레이어별로 그리고 중요 시스템별로 인공 지능이 들어가 있는 탐지 시스템과 전문가 시스템을 들여놓을까? 이렇게 고민하는 접근 방식은 외부의 위협에 중점을 두고 접근하는 방식이다. 외부의 위협 관점에서 조치를 취하는 전략에는 비용이라는 단점이 있을 수 있다. 위협의 형태는 시간이 지나면서 계속 변할 수 있다.  그에 따라서 조치 방법을 계속 바꾸는 것은 비용 단점을 더 악화시킨다.  


다른 접근 방식은 내부 관점에서의 필요한 조치를 취하는 것이다. 조직이 가지고 있는 자산의 가치 관점에서 보안을 강화하는 것이다. 즉 조직이 가지고 있는 자산들의 목록을 가지고 각각 얼마의 가치를 가지고 있는지를 분석해서 우선 순위를 메기고, 그래서 우선 순위대로 보안 조치를 취한다는 전략이다. 모든 위협으로부터 모든 자산을 모두 지켜낼 수는 없다. 가치가 있는 자산부터 먼저 보호한다는 전략이다. 그래서 노출이 되도 상관없을 것 같은 자산을 위해서 그렇게 많은 노력은 투자하지 말자는 것이다. 


APT는 대증적인 조치로 해결할 수는 없을 것 같다. 근본적인 보안 관리를 요구한다고 보여진다 : 자산 평가 및 관리, 위협 모델링, 위험 분석 및 관리,  비즈니스 평가 분석 및 BCP/DRP 관리 등. 비용 효과적인 보안 조치와 방법을 선정하고 구현하기 위해서 기본적으로 수행되어야 하는 것들이라고 보여진다. 즉 APT는 back to the basic을 요구하고 있는 것이다. 이런 결과들을 바탕으로 해서 현재 구현되어 있는 다른 보안 정책, 구현 통제들도 재평가, 개선되어야 한다. 


그런데 말이 쉬운거지, 현실에서 그게 쉬운 일이겠는가? 이미 이런 기본적인 관리가 되고 있는 조직이라면 비용 효과적인 대응이 가능할 수 있겠지만, 그렇지 않은 조직에서는 자산 분석 하나도 힘들겠다는 생각이다(경험이 없는 달봉이만의 생각일 수 있다). 돈이 많은 조직이라면 외부 관점의 대응 조치를 강화하는 것이 속 편할지 모른다. APT 전문 대응 솔루션을 길목마다, 시스템마다 감시원으로 세우는 방법이 제일 간단하고 마음 편할 것이다( 성능이나 사용자 편의성은 그 다음 문제이고). 그러나 그것도 APT를 기술적으로 막을 수는 없다. 그렇게 해 놓고 공격자들이 "힘든 것에 비해서 얻을 수 있는 꿀"이 너무 적다고 돌아서길 바랄 뿐이다.  아...힘들다. 그냥 '고마해라. 많이 묵었다'고 빌어야 하나? 


APT와 관련해서 중요한 것은 정부, 민간 회사 가리지 않는다는 것이다. 이익이 되면 어떤 것도 할 수 있는 암흑의 조직이 산업을 만들어 가고 있다. 


Sony 

2014년 소니의 민감한 정보 유출. 게임 비즈니스 관련 전략 정보, 개인 연봉 정보 등. 몇 테라가 나갔단다. 

U.S는 북한을 지목한다. 그러나 몇몇 전문가들은 다른 정부가 북한에 누명을 씌웠다고 주장한다. 



Google 

2009년 9월에 중국의 인권 운동가들의 G메일 계정을 탈취하려는 공격이 있었다고 한다. 공격은 중국에서 시작되었다고 발표한다.  


U.S. 국방성 

2008년, 국방성 직원이 USB를 노트북에 넣자 웜웨어가 퍼지면서 국방부의 비밀 정보를 주기적으로 인터넷으로 보내기 시작했단다. 거의 14개월 동안 지속적으로. 2009년에 해당 웜웨어를 완전히 없앴다고 밣힌다.


프랑스 정부  

2011, 프랑스 재무부(Ministry of Economy)의 150명 이상의 노트북이 타겟팅된 피싱 공격(spear phishing)을 받아서 백도어가 생긴다. 공격자들은 백도어를 통해서 3개월 이상동안 중요 문서들을 가져간다. 


사례는 끝도 없다. 

보안 관리자들의 우을증과 심리치료 건수가 증가하고 있다는 것은 당연한 일일지 모른다. 




댓글을 달아 주세요

티스토리 툴바