[김국배기자] 올 한 해 보안업계에서 가장 많이 언급된 단어는 무엇일까. 아마도 지능형지속위협(APT)이 정답이 될 것이다.
올해 보안업계는 APT로 시작해 APT로 끝났다고 해도 과언이 아닐만큼 지능형지속위협은 2013년을 끊임 없이 흔들어대는 이슈였다.
APT 공격은 6개 방송·금융사의 전산망을 마비시킨 '3·20 사태'를 일으켰고 이는 APT 대응 솔루션이라는 또 하나의 새로운 보안 트렌드가 자리잡도록 했다. 또 외국 보안기업들이 한국 시장에 적극적으로 뛰어드는 계기가 됐다.
APT 공격은 ▲지능적인 전략 ▲금전적 목적과 목표 ▲시간 초월적 공격이라는 세 가지 특징으로 요약할 수 있다.
시만텍코리아 윤광택 이사는 "APT는 표적 공격의 일부로 그 중에서도 가장 상위 레벨의 공격"이라며 설명했다.
안랩은 APT 공격을 아프리카 초원의 사자에 빗대 설명한다. 사자가 먹이감이 방심하는 순간에 공격하기 위해 인내하는 것처럼 APT 공격자는 목표 기업의 시스템에 침입하기 위해 개인 PC에서 기업 시스템까지 모든 부분을 노리며 사용자를 끈질기게 공략한다는 것이다.
블루코트가 전세계에 구축한 네트워크 트래픽 측정 시스템의 데이터을 분석한 결과, APT 공격이 발견되기까지 걸리는 평균적인 시간은 80일이며 이를 해결하는데 123일이 걸리는 것으로 나타났다. APT 공격으로 인한 데이터 유실 평균 비용은 222달러. 이는 내부과실로 인한 데이터 유실 비용보다 27% 높은 수치다.
◆ 국내외 기업 APT 솔루션 쏟아져
APT는 올 한 해 보안업계를 뒤흔들었다.
지난 3월 20일 6개 방송·금융사의 전산망을 마비시킨 사이버 테러가 일어났다. 직간접적인 총 피해액은 약 8천여억 원으로 추정된다. 대규모 보안사고는 여기에 그치지 않았다. 6월에는 주요 정부기관을 대상으로 한 '6·25 사이버테러'가 발생했다.
이처럼 올해 발생한 두 차례의 대규모 사고는 단순히 좀비 PC를 사용했던 2009년 7·7 디도스나 2011년 3·4 디도스와 달리 모두 APT 공격이 원인이라는 것이 공통점이었다.
이후 보안업체들은 APT 전용 솔루션을 하나 둘씩 선보이며 APT 솔루션 시장에 뛰어들었다. 이 과정에서 한국 시장에 대한 해외 보안업체들의 공세도 거세졌다. 특히 파이어아이는 APT 전문 기업으로 포지셔닝하며 시장의 주목을 받기도 했다.
현재 국내 APT 시장은 안랩과 파이어아이가 맞수 대결을 펼치는 가운데 인포섹, 시큐아이 등의 국내 빅3 보안 업체가 모두 가세했고 블루코트, 포티넷, 체크포인트 등 해외 업체도 경쟁을 벌이는 상태다.
결과는 예상과 달랐다. 보안 수요는 관심 수준을 넘어서지 못했고 보안업체들은 올해 오히려 실적 부진을 겪었다. 안랩은 3분기까지 영업이익이 작년 같은 기간에 비해 72% 줄었고 시큐아이(대표 배호경)도 3분기 누적 영업이익이 20% 넘게 감소했다. 이글루시큐리티는 3분기 영업손실이 25억8천900만원으로 지난해 같은 기간 1억7천600만원에 비해 무려 14배 이상 늘었다.
블루코트코리아 김창오 기술이사는 "기업들이 APT 솔루션의 등장에 무조건 박수를 치지 못하는 상황"이라며 "APT 솔루션으로 모든 보안을 해결할 수 있는지 여전히 의문을 갖고 있기 때문"이라고 답했다.
◆'샌드박스(Sandbox)' 주로 채택…내년 APT 사이버 무기 판매상 증가
APT 솔루션의 주된 기법으로는 샌드박스(Sandbox)가 많이 채택됐다. 샌드박스 방식은 의심스러운 파일을 가상의 공간에서 동작하게끔 만들어 악성 행위 여부를 탐지하는 기술이다.
그러나 샌드박스 기술을 우회하는 다양한 공격 방법이 등장하면서 대부분의 보안업체들은 명칭은 조금씩 달라도 샌드박스 기술만이 아닌 전반적 관점에서 더 큰 틀의 보안을 강조하는 추세다.
2014년에도 APT 공격으로 인한 보안 위협은 계속될 전망이다.
파이어아이는 내년 APT 공격에 사용되는 악성코드를 제작·배포하는 세력과 행위의 규모가 점차 확산될 것으로 봤다. 특히 APT 공격의 배후에 존재하는 사이버 무기 판매상(Digital quartermasters)이 증가할 것이라는 예측이다.
파이어아이는 지난 5월 서로 연관성이 없어 보였던 11개의 APT 공격이 같은 배후 조직에 의해 발생한 정황을 포착하기도 했다. 동일한 악성코드 제작 도구와 제작시간, 디지털 인증서에 의한 서명 등이 확인되면서 악성코드간 연관성을 감지한 것이다.
김국배기자 vermeer@inews24.com
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기