본문 바로가기

제품 이야기

[외부유입파일관리] SHIELDEX_실덱스_망분리 환경에 최적화된 APT 대응 솔루션

 


2013년 3월 20일.
국내 주요 방송 및 금융 6개사에서 전산망 마비 사태가 발생 했습니다.
악성코드에 감염되어 총 3만 2000여 대에 달하는 컴퓨터가 일제히 마비되는
사상 초유의 정보보안 사고가 발생했는데요.

 

 

 

피해를 입은 방송사에서는 직원들의 PC가 멈춰 버렸고,
금융기관에서는 인터넷 뱅킹과 영업점 창구업무, 자동화기기(ATM) 사용 등이
일시 중단되면서 관련 거래가 2시간 동안 중단됐습니다.

사상 초유의 사건이었던 만큼 우리는 이를 일컬어 “3·20 사이버테러”라 부르고 있습니다.

 

경찰청 사이버 안전국 자료에 의하면,
사어버테러형 범죄는 2008년 20,077건, 2010년 18,287건,
2012년 9,607건으로 점점 줄어들었으나
2013년 10,407건으로 늘어나는 추세이며,
사이버테러 범죄는 꾸준히 우리의 안전을 위협하고 있습니다.

 

 

 사이버테러의 공격 방법은? APT 공격!

 

이러한 사이버테러의 공격 방법의 대다수가 APT 공격에 의해 발생하고 있는데요.
최근 APT 공격은 정보 유출뿐만 아니라 내부 시스템을 파괴시키는 형태로도 나타나고 있어서
산업은 물론 국가에도 큰 피해를 입히고 있습니다.

 

 
■ APT란

  - Advanced Persistent Threat의 약자

  - 지능적인 방법으로 지속적으로 특정 대상에게 가하는 보안 위협

 

 

APT 공격은 이메일, USB 등의 수단을 통해 이루어 지고 있으며,
기업 내부 네트워크로 유입되는 파일에 의한 피해가 늘어나고 있는 상황 입니다.

과거에는 불특정 다수를 노려 피해를 입혔다면,
최근에는 하나의 타깃을 정해서 성공할 때까지 지속적으로 공격한다는 것이 특징 인데요.

 

APT는
공격할 대상을 미리 정하고, 대상 PC를 장악하여 관리자의 권한을 가진 후,

공격하는 지능적이고 지속적인 공격 방식입니다.

 

■ APT 특징과 피해 사례

 

 

 특징

사례(Google 자료) 

 Targeted

특정 조직을 대상으로 뚜렷한

목적 달성을 위해 데이터를

훔치거나 피해를 주기 위해 설계 

- 특정 타깃 기업: Google

- 공격자: Elderwood Group

   (중국인민 해방군과 관련 있는 해커그룹) 

- 발생 년도: 2009년

- 공격목표: 소스코드 공격

 Persistent

장기간 잠복하여

다양한 단계에 걸쳐 공격

Aurora 공격은 2009년 말 처음 발견되기

몇 달 전부터 감행되었으며

2010 2월까지 지속되었음 

 Evasive

기존 보안제품들의 탐지방법을 피할 수 있도록 체계적으로 설계 

Aurora 공격은 인터넷 익스플로러의

알려지지 않은 취약점을 착취하도록 특별

제작되었기 때문에 제로데이 공격을

감지하던 전통적인 보안제품들을 회피 

 Complex

공격대상의 허점을 공략하기

위해 다양한 공격방법을

조합하여 공격 

 Aurora 공격은 인터넷 익스플로러의

알려지지 않은 취약점을 바이너리 악성코드

(Malware binaries)와 SSL 커넥션으로

가장한 비밀 커넥션을 사용하여 공격

 

 

특히 APT 공격의 90% 이상이 스피어 피싱으로 유발되었거나, 공격에 사용되고 있습니다.

 

 

 
 ■ 스피어 피싱(Spear Phishing)

 - Spear, 창/찌르다 + Phishing, 개인정보를 낚는다

 - 불특정 다수가 아닌 특정인 또는 조직을 표적으로, 신뢰할 만한 발신인이 보낸 것

   처럼 위장한 메일을 통해 악성 웹 사이트로 유도 또는 악성 첨부파일로 악성코드에

   감염시키는 일종의 온라인 사기행위

 

문제는 이 과정이 치밀하게 장기간에 걸쳐 진행되며,
진행하는 동안 악성코드를 끊임없이 변조시켜 탐지를 어렵게 하고,
성공할 때까지 표적을 노린다는 점입니다.

 

해커들은 제로데이 공격, 사회공학 기법, 은닉, 권한 상승을 조합해
지속적으로 공격을 하는데요.

 

 

 ■ 제로데이(Zero Day)

 - 운영체제나 네트워크 장비 등 핵심 시스템의 보안 취약점이 발뎐된 뒤

   이를 막을 수 있는 패치가 발표되기 전에

   그 취약점을 이용한 악성코드나 해킹 공격을 감행하는 수법

 

 ■ 사회 공학적 기법(Social Engineering)
 - 시스템이 아닌 SNS나 가입 동호회 등 개인에 대한 장기간 조사로 자료를

   수집한 후 관련자를 사칭하거나 상대의 관심과 호기심을 자극하는 기법

 

즉, 해커들이 공격할 표적을 정해서 SNS나 인터넷에 퍼져있는 대상의 정보를 수집하여,
자주 가는 웹사이트, 취미, 소속된 조직 등 표적 대상이 신뢰할 만한 내용으로 메일을 보내는데
이를 클릭하는 순간 악성코드에 감염되는 것입니다.

 

또, 개인 이메일로 실행파일(.exe, .dll)이나, 문서파일, 압축파일 등에 악성코드를 심어 보내서
정보를 얻게 되면 그 PC를 장악해서 관리자의 권한을 얻고, 기업의 다양한 정보를 빼내거나
네트워크를 쉽게 조작할 수 있게 되는 것이죠.

 

 

 악성코드는 어디로부터 유입이 될까요?

 

망간 자료전송 시스템, 외부로부터 수신 가능한 이메일,
내/외부 유출이 가능한 USB, 스마트폰

외부로부터 유입될 수 있는 파일의 경로가 다양해 지고 있습니다.

 

특히나 망분리 환경의 경우 업무망과 인터넷 망의 파일 복사가 차단되고,
업무망에서 인터넷 접속이 불가능하지만
다양한 경로를 통해 인터넷망의 파일이 업무망으로 쉽게 유입이 가능합니다.

 

■ 업무망에 침입 가능한 다양한 경로

 

 

 

2010년 이란의 원자력 발전소를 감염시킨 ‘스턱스넷’
악성코드를 담은 USB가 업무망 PC 에 연결되어 감염 되었습니다.
이는 USB 하나로 국가 기반시설이 해커에게 탈취되는 상황이 올 수 있다는 것을
여실히 보여준 사례인데요.

이러한 이란의 원자력발전소의 보안 시스템은
국내의 도시철도공사, 공항공사, 포스코, 한국전력 등이 사용하는 제어 시스템과 동일합니다.

 

최근 한 보안 USB 업체가 제품 형상을 무단으로 변경해서
공공기관에 납품한 사례가 밝혀지면서 ‘국가인증제품’ 도입이 안전한 보안대책이
아니라는 것이 부각되고 있습니다.

또한, APT 공격은 외부로부터 유입되는 실행파일 실행뿐만 아니라
악성코드가 포함된 문서를 단지 여는 것만으로도 감염이 됩니다.

 

이와 같이, APT 공격은
점점 치밀하고 지능적으로 진화하고 있으며,
개인, 기관/기업뿐만 아니라 국가도 그 공격 대상이 되고 있어
이에 대한 통제와 관리의 필요성이 증가하고 있습니다.

 

 

 망분리 환경에 특화된 APT 대응 솔루션, SHIELDEX 실덱스

 

그럼 외부유입파일에 대해 우리는 어떻게 대응을 해야 할까요?

 

APT와 악성코드 공격은 다양한 경로와 형태를 통해 조직 내부로 유입됩니다.
그렇기 때문에 내부로 들어오지 못하게 하는 것이 우선적이겠지만,
내부에 들어 왔다면 가장 빠르게 감지하여 차단하는 것이 가장 중요한 핵심일 것입니다.

 

 

소프트캠프 SHIELDEX 실덱스는 외부유입파일관리 솔루션으로,
실제 공공기관이나 대기업의 외부인 출입 보안 체계를
네트워크상에 구현하여 외부에서 유입되는 문서나 실행파일을 격리된 가상환경에서 실행하고,

내부 반입 시 자체 개발한 기술을 적용하여 방역처리 하는 솔루션 입니다. 

 

2013년 3·20 사이버 테러 이 후
의심되는 파일을 끝까지 추적하겠다는 생각에서 개발이 시작 되었어요.

 

SHIELDEX 실덱스 컨셉도  

 

 

방역 처리된 실행파일은 시스템 변조나 파괴가 가능한 영역을 접근 통제/차단하며,
문서 파일의 악성코드를 제거하고, 반입 이후의 사용/변경 이력도 지속적으로 추적 합니다.
관리자는 위협이 되는 파일의 공격을 실시간으로 확인할 수 있으며,
유입 경로를 추적할 수 있습니다.

 

 


 

예를 들어, 이메일 등을 통해 전송 받은 '소프트캠프 입사지원.hwp'라는
한글 문서 파일이 먼저 마이크로VM에 저장됩니다.
실덱스는 가상환경에서 해당 파일 내부에 있는 텍스트나 컨텐츠에 해당하는
내용만 뽑아내서 새로운 문서파일을 만들게 되죠.

내부 사용자는 이렇게 해서 새롭게 만들어진 문서파일만 볼 수 있는 것입니다.
만약 이 한글 문서가 악성파일이라면 아예 텍스트, 컨텐츠를 추출하는 작업이
진행되지 않게 됩니다.


또, 외부에서 유입되는 것이 '*.exe'와 같은 실행파일이라고 하면
이 파일에 꼬리표를 붙여 표시를 해 둡니다.
해당 파일이 어느 곳에서 어떤 행위를 실행하는지를 모니터링 하게 되고,
만약 마스터부트레코드(MBR) 영역과 같이 특정 시스템을 파괴하려는 행위가 탐지되면
실행을 금지시키고, 내부 핵심 자산에 해당하는 시스템 중요영역에는 해당 파일이
아예 접근하지 못하도록 격리시켜 버립니다.

 

SHIELDEX 실덱스
기존에 새로운 유형의 악성코드를 분석하지 못하는 패턴 분석의 한계점을 보완하였으며,
악성코드 유입경로 확인 및 추적이 어려운 모니터링의 한계점을 보완한 솔루션 입니다.

 

 

 
SHIELDEX 실덱스 적용 대상

 

  - 망분리/망연계 환경에서 외부유입파일에 대한 보안 강화를 고려하고 있는 기업 및 기관

  - APT 공격에 대한 보안 대책을 고려하고 있는 기업 및 기관

  - ZeroDay 등 알려지지 않은 공격에 대한 강화된 대응방안을 강구하는 기업 및 기관

  - 금융/에너지/국방 등 고도화된 사이버 테러 집단의 잠재적 공격 대상 기업 및 기관


 

APT공격은 지능적이고 지속적인 공격을 하는 특성을 가지고 있기 때문에,
대부분의 기관 및 기업에서는 필수로 적용해야 하는 솔루션 입니다.

 

 

 

 SHIELDEX 실덱스 주요 특징

 

  - 가상격리 환경 제공 (Isolation)
    격리된 환경에서 외부유입파일에 대한 안전실행모드를 제공하여 PC 환경 보호


  - 방역 (Sanitization)
    파일 내부 반입 시, 방역을 통해 안전한 컨텐츠만 내부 반입


  - PC 핵심영역 보호/감시 (Surveillance)
    외부유입파일의 PC 중요영역 접근 감시 및 핵심영역 보호


  - 외부유입파일 통제 (Policy Control)
    특정경로(메일, USB) 및 특정 파일의 반입/실행 차단, 폐기 등 보안정책 설정


  - 추적/현황 관제 (Trace)
    외부유입파일의 사용이력 추적 및 차단현황 통합 관제

 

 

 

소프트캠프의 지난 15년간 축적해온
가상화, 암호화 기술을 접목하여 외부 유입파일을 안전하게 통제, 관리할 수 있게 개발 했어요.

 

APT 공격은 본인뿐만 아니라 주변 사람들, 조직, 사회의 기반까지 흔들 수 있는
엄청난 파괴력을 가진 위협 요소입니다.

점점 지능화되고 있는 사이버테러에 대한 보안인식이 강조 되어야 하겠습니다.

 

참고
- 경찰청 사이버 안전국 http://cyberbureau.police.go.kr