APT 공격을 탐지·하기 어려운 근본적인 이유는 보안 시스템을 우회하기 때문이다. 공격자는 목표를 달성할 때 까지 끈질기게 공격을 진행하며, 보안 시스템을 우회하거나 무력화 하는 방법을 찾아낸다.
APT 악성코드를 탐지하는 가장 효과적인 방법으로 꼽히는 샌드박스는 다양한 우회공격이 가능하기 때문에 완벽한 방어가 불가능하다. 샌드박스 솔루션도 고도화되는 공격을 탐지할 수 있도록 지속적으로 고도화·정교화된 방어 기법을 적용하고 있지만, 공격자들은 끊임없이 이를 무력화하는 방법을 연구해 찾아내고 만다.
샌드박스의 근본적인 한계는 다른 보안 기술을 통해 해결해야 한다. 샌드박스는 서비스 연속성을 위해 인라인 구축보다 아웃오브밴드 구성이 제안되기 때문에 최초로 침투한 공격은 막지 못한다. 그래서 회귀분석 기술을 통해 최초 공격의 경로를 역추적해 공격에 영향을 받은 네트워크와 엔드포인트를 방역해야 한다.
또한 네트워크 보안 시스템, 엔드포인트 보안 시스템, 모니터링 시스템 등과 연게돼 샌드박스에서 탐지한 보안위협이 발견됐을 때 차단하거나 격리하는 등의 구성도 효과적인 APT 방어로 제안된다.
이메일·웹 보안 시스템 연계한 APT 방어 시스템 구성
APT 공격은 악성 이메일이나 웹사이트 방문자에게 악성코드를 삽입하는 드라이브 바이 다운로드 기법을 주로 사용한다. 따라서 이메일 보안 시스템 및 웹 보안 시스템과 연계하는 구성도 효과적인 APT 탐지 시스템으로 제안된다. 특히 프록시 기술을 기반으로 한 웹·이메일 보안 시스템은 공격탐지 효과를 높일 수 있는 방법으로 꼽힌다.
모니터랩은 URL/악성 코드 관리 툴 MUD(Malicious URL Dedection)와 MAD(Malicious Attached Detection)를 APT 방어 시스템과 연계해 지능적인 사이버 공격을 방어하는 구성을 제안한다.
MUD는 사용자가 웹사이트에 접속하기 전에 웹사이트에 위협요소가 있는지 확인하고, 보안웹게이트웨이(SWG) 등을 통해 차단할 수 있도록 지원한다. MAD는 이메일 첨부파일을 분석해 악성코드가 삽입돼 있으면 보안 이메일 게이트웨이(SEG)를 통해 악성파일을 열어보지 못하도록 한다.
MUD와 MAD를 프록시 엔진을 탑재한 APT 방어 솔루션과 연동해 물리적인 하드웨어 추가 없이 AP T공격에 효율적으로 대응할 수 있는 동적분석 관리툴을 제공한다.
서용호 모니터랩 팀장은 “APT는 드라이브 바이 다운로드 혹은 이메일 첨부파일을 통해 알려지지 않은 악성코드를 사용자PC에 감염시키는 방법으로 진행된다. 따라서 APT 방어 장비의 시그니처 및 샌드박싱 기술과 함께 악성URL/악성코드 탐지 기법을 연계하면 보다 안전하게 시스템을 운영할 수 있을 것”이라고 말했다.
