시만텍, 상반기 국방 분야 일 평균 7.3건 공격 당해

KT가 지능형지속위협(APT) 공격에 의해 고객 정보가 유출됐다고 발표하면서 이 공격 위험성이 부각되고 있다. APT 공격은 해킹 대상 기업의 내부자 PC를 경유해 악성코드를 침투하는 식으로 고객 정보를 해킹하는 방식이다.  KT는 이번 공격으로 870만여명의 개인정보가 유출됐다고 밝혔다. 기업만 APT 공격에 노출된 것은  아니다. 한 국가의 보안을 책임지는 국방 분야도 APT 집중 공격 대상으로 떠오르고 있다.

시만텍이 8월1일 발표한 ' 2012년 상반기 전세계 표적공격 동향 분석에 따르면, APT를 포함한 고도의 표적공격이 지속적으로 발생하고 있는 가운데 정부기관과 대기업 중소기업들도 사이버 공격의 주요 표적이 되고 있다.

윤광택 시만텍코리아 이사는 "산업시설과 국가 시스템을 노리는 고도의 표적공격과 산업 스파이 활동은 향후 더욱 기승을 부릴 것으로 예상된다"라며 "이 같은 보안 위협에 맞서 기업들은 정보 중심의 보안전략을 바탕으로 전반적인 보안 프로세스를 점검하고 임직원의 보안 의식 제고와 보안을 생활화해야 한다"라고 강조했다.

시만텍 분석에 따르면 2012년 올 상반기 가장 많은 표적 공격을 받은 산업 분야는 국방 분야가 주요 공격 대상으로  부상하고 있는 것으로 나타났다. 이전까지 시만텍은 국방 부문을 정부 부문에 포함시켜 분석했다. 이번 조사부터 시만텍은 정확한 분석을 위해 국방 부분을 별도 항목으로 분석했다. 그 결과 정부부문은 하루 평균 1.1건의 표적공격을 받은것에 비해 국방 분야는 하루 평균 7.3건의 공격을 받은 것으로 나타났다.

국방 다음으로 화학과 제약, 제조 부문이 뒤를 이었다. 공격 건수에서 각각 2위와 3위를 기록했다. 이들 분야에 대한 표적공격은 일일 2.9건과 1.5건을 기록했다. 이는 전체 표적공격의 약 30%를 차지한다고 시만텍을 설명했다.

상반기 표적공격은 2011년 12월 하루 평균 154건이 발생해 최고 기록을 갱신한 후 올 1월 잠시 소강상태를 보이다가 2월부터 다시 예년 수준을 회복했다. 지난 6월 이란과 중동지역에서 국가 기간시설에 침투해 중요 정보를 빼돌려온 악성코드 '플레이머'가 발견되기도 했다. 플레이머는 2010년 스턱스텍, 2011년 듀큐, 전세계 화학과 방산업체를 공격한 니트로 등과 같은 APT 공격이다. 시만텍은 이들 모두 국가 기간산업을 노린 공격이란 점에서 보다 강력한 보안 대비가 필요하다고 주장했다.

시만텍이 제안하는 기업을 위한 보안 베스트 프랙티스 지침

1. 심층적인 방어 전략을 수립하라: 특정 기술 또는 보호 방식에 존재하는 오류를 막기 위해 여러 방어 시스템을 활용한다. 이를 위해 네트워크 전반에 정기적으로 업데이트되는 방화벽, 게이트웨이 안티바이러스, 침입탐지, 침입차단시스템, 웹보안게이트웨이 솔루션을 구축해야 한다.

2. 네트워크 보안 위협, 취약점 및 브랜드 도용을 감시하라: 네트워크 침입, 전파 시도, 기타 의심스러운 트래픽 패턴이 있는지 감시하고 확인된 악성 호스트나 의심스러운 호스트와의 연결 시도를 찾아낸다.여러 벤더의 플랫폼 전반에서 새로운 취약점과 보안 위협에 대한 알림을 수신하고 선제적으로 해결한다. 도메인 알림 기능과 가짜 사이트 보고 기능으로 브랜드 도용 사례를 추적한다.

3. 안티바이러스만으로는 충분하지 않다: 시그니처 기반의 안티바이러스만으로는 최신 보안 위협과 웹기반 공격 툴킷으로부터 엔드포인트를 확실하게 보호할 수 없다. 다음과 같은 추가적인 보호 계층을 포함하는 통합적인 엔드포인트 보안 제품을 구축해야 한다.

• 패치가 적용되지 않은 취약점이나 사회 공학적 공격기법을 차단하며, 엔드포인트를 노리는 악성 코드를 차단하는 엔드포인트 침입 차단 기술


• 위장 웹 기반 공격을 차단하는 브라우저 보호 기술


• 사전 예방 차원에서 미확인 보안 위협을 차단하는 클라우드 기반 악성 코드 방지 기술


• 애플리케이션과 웹 사이트의 리스크와 평판을 평가하여 빠르게 변이하는 악성 코드와 다형성 악성 코드를 차단하는 파일 및 웹 기반 평판 솔루션


• 애플리케이션과 악성 코드의 행동을 감시하고 악성 코드를 차단하는 행동 기반 차단 기능


• 애플리케이션과 브라우저 플러그인에서 허가받지 않은 악성 컨텐트의 다운로드를 차단하는 애플리케이션 제어 설정


• USB 장치 유형의 사용을 차단하고 제어하는 장치 제어 설정

4. 중요한 데이터는 암호화하라: 중요 데이터를 암호화하는 보안 정책을 구현하고, 이에 대한 접근을 제한해야 한다. 이를 위해 데이터를 식별, 모니터링, 보호하는 DLP(데이터 유출방지) 솔루션이 필요하다. 이 솔루션은 데이터 보안 사고를 방지할 뿐 아니라 사내에서 잠재적 데이터 유출의 피해를 줄이는 데도 효과적이다.

5. DLP 기술로 데이터가 유출되지 않도록 방지하라: DLP 솔루션을 구현하여 중요 데이터가 저장된 위치를 찾아내고 데이터 사용 현황을 모니터링하며, 손실되지 않도록 보호할 수 있다. DLP는 중요 데이터를 복사하거나 다운로드하는 의심스러운 행동을 탐지해 차단할 수 있도록 구성해야 한다. 또한 DLP를 사용하여 네트워크 파일 시스템과 PC에서 기밀 데이터나 중요한 데이터 자산을 찾아내고 암호화 등 적합한 데이터 보호 기술을 적용함으로써 데이터 손실 위험을 최소화해야 한다.

6. 휴대용 저장장치 사용을 제한하라: 가능하다면 외부 휴대용 하드 드라이브나 기타 이동식 저장장치 등의 사용을 제한해야 한다. 이러한 장치는 의도적으로 또는 실수로 악성 코드를 유입하고 지적 재산을 유출하는 빌미를 제공할 수 있다. 외부 미디어 장치가 허용되는 경우에는 장치가 네트워크에 연결되는 즉시 자동으로 바이러스 검사를 실시하고 DLP 솔루션을 이용하여 암호화되지 않은 외부 스토리지 장치에 기밀 데이터가 복사되는지 감시하고 제한해야 한다.

7. 주기적으로 신속하게 보안 대응조치를 업데이트하라: 2010년 시만텍이 발견한 악성 코드 변종은 2억 8,600만 개 이상이었다. 기업은 매일 수 차례는 아니더라도 1회 이상 보안 바이러스 및 침입 차단 정의를 업데이트해야 한다.

8. 적극적으로 업데이트하고 패치를 적용하라: 구버전의 브라우저와 플러그인, 애플리케이션은 벤더가 제공하는 자동 업데이트를 통해 최신 버전으로 업데이트하고 패치를 적용하며 마이그레이션해야 한다. 대부분의 소프트웨어 벤더는 소프트웨어의 취약점 악용을 차단하기 위한 패치를 자주 발표한다. 하지만 이러한 패치를 현장에 적용해야 비로소 안전하다. 가급적 패치 적용을 자동화함으로써 전사적 환경을 취약점 없는 안전한 상태로 유지해야 한다.

9. 효과적인 암호 정책을 적용하라: 강력한 암호를 사용해야 한다. 강력한 암호는 8~10자 이상이고 대소문자, 숫자, 특수문자를 모두 포함해야 한다. 사용자가 여러 웹 사이트에서 동일한 암호를 사용하지 않도록 하고 다른 사용자와 암호를 공유하는 것도 금지해야 한다. 90일마다 1회 이상 정기적으로 암호를 변경하고 암호는 기록해 두지 않는다.

10. 이메일 첨부를 제한하라: .VBS, .BAT, .EXE, .PIF, .SCR 파일 등 주로 바이러스를 확산시키는 데 사용되는 첨부 파일이 있는 경우 이메일을 차단하거나 제거하도록 이메일 서버를 구성한다. 또한 이메일 첨부가 허용되는 PDF 파일은 엄격한 보안 정책을 적용한다.

11. 감염 및 사고 대응 절차를 마련하라

• 보안 벤더의 연락처 정보를 확보하고 하나 이상의 시스템이 감염될 경우 어디에 연락하고 어떤 절차를 거쳐야 하는지 파악해둔다.


• 공격이 성공하거나 심각한 데이터 손실이 발생할 경우 손실되거나 손상된 데이터를 복원할 수 있도록 백업 및 복구 솔루션을 마련한다.


• 웹 게이트웨이, 엔드포인트 보안 솔루션, 방화벽의 사후 감염 탐지 기능을 활용하여 감염된 시스템을 찾아 격리시켜 추가 감염이 발생하지 않도록 한다.


• 악성 코드나 기타 보안 위협에서 네트워크 서비스의 취약점을 악용할 경우 패치가 적용될 때까지 서비스 접속을 제한하거나 차단한다.


• 감염된 시스템에 대해 사후 분석을 실시하고 신뢰할 수 있는 미디어를 사용하여 복원한다.

12. 변화하는 보안 위협 환경에 대해 사용자 교육을 실시하라

• 확실하고 믿을 수 있는 출처에서 발송한 첨부 파일이 아니면 열어보지 않는다. 인터넷 다운로드가 허용되는 경우 다운로드한 소프트웨어는 반드시 바이러스 검사를 실시한 후에 실행한다.


• 이메일이나 소셜 미디어 프로그램에 포함된 URL을 누를 때 비록 믿을 수 있는 출처에서 발송되거나 친구가 보낸 경우라도 신중을 기한다.


• 단축 URL을 누를 때는 먼저 사용 가능한 툴과 플러그인을 통해 미리 보거나 펼쳐 본다.


• 사용자가 소셜 네트워킹 솔루션을 통해 정보를 제공할 경우 이러한 정보가 사용자 본인을 노리는 공격에 이용되거나 악성 URL 또는 첨부 파일을 열도록 유도하는 데 사용될 수 있으므로 주의해야 한다.


• 검색 엔진 결과를 무조건 신뢰해서는 안되며, 특히 미디어에서 집중적으로 다루는 주제에 관해 검색할 때는 신뢰할 수 있는 출처의 결과만 눌러야 한다.


• 검색 결과에 웹 사이트의 평판을 표시하는 웹 브라우저 URL 평판 플러그인 솔루션을 구축한다.


• 소프트웨어 다운로드가 허용되는 경우 회사 공유 시스템만 이용하거나 벤더의 웹 사이트에서 직접 다운로드한다.


• 사용자가 URL을 누르거나 검색 엔진을 사용한 후에 감염되었다는 경고 메시지가 나타날 경우(가짜 안티바이러스 감염) Alt-F4, CTRL+W 또는 작업 관리자를 사용하여 브라우저를 닫거나 종료하도록 교육한다.