7월 말 인터넷 쇼핑몰 I사 해킹이 알려졌습니다.
언론에서는 APT 공격이며 따라서 막기 어려운 혹은 막을 수 없다고 보도 했습니다.
(심지어 APT 공격을 메일을 이용한 공격 이라는 등의 잘못 된 내용으로 보도 한 경우도 있습니다.)
- 인터파크, 해킹으로 고객정보 1030만건 유출… 미래부, 조사단 구성(종합)
http://biz.chosun.com/site/data/html_dir/2016/07/25/2016072502153.html
- 인터파크, APT해킹에 1030만명 개인정보유출… '2차피해' 우려
http://mnb.moneys.news/mnbview.php?no=2016072618018023326
우선 APT 공격이 맞을까요 ?
APT 는 'Advanced persistent threat'로 '지능적 지속 위협' 정도로 번역할 수 있겠네요.
일단 ITWorld 의 기사를 참고하면 APT 공격의 기준이 제각각임을 알 수 있습니다.
- APT(Advanced Persistent Threat) - ITWorld
http://www.itworld.co.kr/news/95741
우선 Advanced ... 지능적 측면에서 보겠습니다.
이번 공격을 보면 악성코드를 포함한 scr 파일을 보냈다고 합니다. 이건 이미 10 년 전 부터 흔히 사용되는 공격 방식으로 새로운 방식으로 보기는 어렵습니다. 물론 Advanced 가 꼭 기술적으로 뛰어나야 하고 새로워야 하는가 논란이 있을 수 있습니다. 첨부 파일 SCR 파일은 보안 정책에서 메일로 차단 할 수도 있고 메일 받는 사람이 실행 파일이라 함부러 열지 않을 수 있습니다. 이에 공격자는 아마도 동생 컴퓨터도 해킹 해 동생이 보낸 것처럼 가장했을 겁니다. 이 역시 사회공학기법으로 새로운건 아닙니다.
Persistent ... 지속성
얼마나 집요하게 공격했는지는 알 수 없습니다. 한번에 성공했을까요 ? 두 번 ? 세번 ? 어디 정도 해야지 지속적인 공격일까요 ?
개인적으로는 현재 APT 공격은 대부분 마케팅적 용어라는 생각이 들고 오히려 이런 공격을 표적공격(Targeted Attack)으로 봐야 할 듯 합니다.
어쩌다보니 APT 공격은 해킹 당한 업체에는 막을 수 없었다는 일종의 면제부가 되고 보안 업체들에게는 마치 새로운 위협인 것 처럼 홍보하고 제품 팔고 있는게 현실입니다.
APT 공격 정의를 다소 완화해도 악성코드를 이용한 APT 공격의 상당수는 과거 존재했던 방식과 크게 다르지 않습니다. 어렵지 않은 방식으로도 해킹이 가능하다면 공격자가 굳이 어렵게 공격할 필요는 없겠죠.
최근 랜섬웨어에 의한 피해가 증가하고 있습니다. 그렇다면 해당 기업들은 다른 악성코드 위협에도 똑같이 노출되었다고 볼 수 있습니다. 과거에는 악성코드에 감염되어도 눈에 띄는 증상이 없고 랜섬웨어는 바로 피해를 알 수 있기 때문에 피해가 더 크게 느껴질 수 있습니다.
아쉽게도 대부분의 기업은 APT 공격 같은 대단한(?) 공격이 아닌 일반적인 악성코드 공격에도 대부분 무너 질 수 밖에 없는 구조를 가지고 있습니다.
ps.
현실세계에서 APT와 비교할 수 있는 좋은 사례입니다.
원래 APT 용어와 비교하려면 이 정도 예상하지 못한 공격이어야 하지 않을까 합니다.
'보안위협 (악성코드) > 짧은생각 긴 얘기' 카테고리의 다른 글
서구 관점에서 본 중국 보안의 신뢰성 (0) | 2015.06.07 |
---|---|
외장하드의 바이러스(악성코드)를 원천차단 기능 ?! (0) | 2014.12.14 |
새로운 백도어 ?! 하지만 정체는... (2) | 2014.07.27 |
[기사] 구글 선임 엔지니어 “안드로이드 보안 앱 까느니..." (2) | 2014.07.12 |
주식거래시스템 해킹 시연의 반응 그리고 아쉬운 점 (4) | 2014.02.15 |