온 세계가 APT로 뜨겁습니다. 바로 몇달 전까지 한국은 아파트(부동산)로 뜨거웠는데요. 문제는 즐겁지 않은 곳에서 또 APT 문제가 터졌다는 겁니다. 바로 올해 3월과 6월에 협력사 '서연이화'등을 통한 데이터 유출로 인해 문제가 될 뻔했던 현대/기아 자동차그룹에서 또 문제가 생긴 것입니다. 지난 10월 25일, 다크웹에는 하나의 글이 올라왔습니다. 현대/기아 자동차의 1차 협력사를 해킹에 얻은 정보가 있다는 글이었는데요.

​현대, 기아 신차 프로젝트 정보를 유출, 공개한 해커

해커가 공개한 유출 파일은 <10월 7일자 현대/기아 신차종 프로젝트 현황>이었습니다. 빨간색으로 '비밀'이라 표시된 문서에는 준비 중인 신차 종류, 차종별 개발 상황과 양산 시작일, 생산공장 등 자세한 계획이 도표로 정리되어 있고, 전략 차종을 전기차로 바꾸는 일정, 생산 예정 물량 등의 핵심 전략 정보가 기입되어 있었습니다. 2025년 생산 계획이란 제목의 다른 문서에는 현대차와 기아가 운영하는 국내외 모든 공장의 월별 생산량이 망라되어 있기까지 했습니다.

현대/기아 자동차그룹 측은 즉각 협력업체 서버의 외부접속을 즉시 차단하고 긴급 보안 점검을 실시했다고 밝혔지만 이미 유출된 정보가 회수되거나 유출 사건 자체가 수습될 가능성은 난망합니다. 사실 대기업과 연결된 수많은 협력사의 경우 생산 정책 등을 서로 발맞추어 가야 하기 때문에 이런 기밀정보가 공유되는 경우가 많은데요. 

실제 올해 상반기에 일어난 해킹 피해 신고 건수는 지난해보다 35% 증가한 889건으로 집계되었습니다. 그 중 발생했던 랜섬웨어 침해 사고의 93.5%가 중견/중소 기업에서 일어났습니다. 이는 대기업보다 보안에 대한 투자가 적고 전문가가 적어서 비교적 뚫기 쉬운 협력 업체를 노린 것입니다. 이들 업체가 기업 정보 유출의 '통로'가 된 셈입니다.

​말려들면 계속 빠지는 APT 게임처럼 취약점을 파고드는 APT 공격

이렇게 특정한 기업이나 조직을 노려서 취약점을 찾는 공격을 APT(Advanced Persistent Threat) 공격이라고 부릅니다. 2010년대에 대두된 이 APT 공격은 수많은 해킹 기법과 결합하여 아직까지 끈질기게 수많은 기업이나 정부 기관 등을 노리고 있는데요. 과거 SK컴즈에서 발생했던 3,500만명의 개인정보 유출 사고가 이 APT 공격으로 분석되기도 했습니다.

APT 공격은 특정한 목표를 겨냥한다는 점에서 불특정 다수를 대상으로 한 기존 해킹과 구별됩니다. 표적으로 삼은 기업이나 기관 등 조직의 네트워크에 은밀하게 침투해 오랫동안 잠복하면서 기밀정보를 유출하는 식으로 공격목표를 달성하기 때문에 사전에 탐지하고 대응하기가 어렵다고 알려져 있습니다. 

공격 역시 일회성이 아니라 장기간에 걸쳐 이뤄지고, 여러 악성코드나 공격 루트를 이용합니다. 한번 말리기 시작하면 계속 술을 마셔야 하는 아파트 게임처럼, APT 공격 역시 인지할 정도의 피해가 발생했다는 것은 이미 시스템 전체에 걸친 취약점이 노출되었다는 뜻이라 한번 발생하면 이를 막을 뾰족한 대안이 없다고 봐도 됩니다. 그렇기에 공격 사례를 더욱 잘 분석하고 사전에 다양한 범위에서 취약점을 분석, 대응해야 할 필요가 있습니다.

​공격 방식과 채널을 다양화하고 있는 APT 공격 사례

최근 APT 공격 사례를 보면 공격자는 직접 제작한 것으로 추정되는 리버스 쉘(Reverse Shell), 백도어, VNC(Virtual Network Computing) 악성코드 뿐만 아니라 원격 화면 제어를 위해 RDP(Remote Desktop Protocol)를 사용하기도 했습니다. 

또한 개인 사용자를 대상으로 한 공격 사례에서는 스피어 피싱 방식을 이용해 악성코드를 메일에 첨부하기도 하는데요. 이 외에도 IIS와 같은 웹 호스팅 서버, 전자 우편 발송에 사용되는 MS 익스체인지 서버를 공격해 악성코드를 설치하는 사례도 함께 확인됩니다.  

또한 공격 방식은 리버스 쉘 악성코드를 비롯해 파이썬으로 개발된 백도어인 noMu, 소스 코드가 공개된 중국 백도어 Fxfdoor, 애이싱크랫(AsyncRAT), 타이트 VNC(Tight VNC), 넷캣(Netcat), 애니데스크(AnyDesk) 등 원격 제어를 위한 악성코드를 주로 사용했습니다. 이 외에도, RDP 접속을 위한 프록시와 백도어의 실행을 담당하는 런처(Launcher) 악성코드도 함께 사용되었죠. APT 자체가 특정 목적을 이루기 위해 꾸준히 피해자를 지켜보면서 제2, 제3의 목표를 향해 진행되는 공격이다 보니 원격 제어 코드가 많이 활용됩니다.

​개인 사용자를 표적으로 삼는 초기 침투 과정

확인된 공격 사례를 분석하면 초기 침투 과정에서 대부분 개인 사용자를 표적으로 삼은 것을 볼 수 있는데요. 비록 직접적인 초기 침투 공격이 확인되지는 않았지만, 공격자의 주 공격 수법은 스피어 피싱 공격으로 추정됩니다. 

그 근거로 감염 대상 시스템에서 압축 파일의 압축을 해제한 후 파워셸(PowerShell) 및 JavaScript, VBScript 악성코드가 실행된 이력이 확인되었기 때문입니다. 해당 악성코드들은 시스템에서 지속적으로 실행, 추가 페이로드를 다운로드 받아 몰래 설치하는 것으로 추정됩니다. 또한 공격자는 개인 사용자들 외에도 취약한 웹 서버를 공격해 악성코드를 설치, 배포 경로로 활용하기도 했습니다. 

실제 일부 피해 사례에서는 w3wp.exe 프로세스의 실행이 확인되었는데. 이는 리버스 프록시 악성코드를 실행할 수 있는 프로세스입니다. 이 공격을 통해 최종적으로 웹 셸(Web Shell)이 설치된 것으로 보입니다.

그렇다면 가상 사설망(VPN)은 안전할까요? 그렇지 않습니다. 공격자는 Ngrok나 Frp를 설치해 이를 우회한 것이 확인되었는데요. VPN을 해킹한 몇몇 프록시 악성코드는 중개 기능을 지원하며, 실행 시 악성코드 페이로드가 올라가 있는 해커의 공격자 서버, 즉 C&C(Command and Control) 서버에 직접 연결되는 동시에 로컬 시스템의 RDP 포트(3389)를 장악합니다.

한번 이렇게 제어 단계에 들어가게 되면 공격자는 기밀 데이터를 전송하거나, 지속적으로 로그를 수집하거나, 서비스를 강제로 중단하는 등의 다양한 공격을 시행할 수 있게 되는데요. 실제 지난 6월, 유명 원격 접속 소프트웨어 회사인 팀뷰어(TeamViewer)가 APT 공격을 받기도 했습니다.

​생성형 AI, IoT 등 기술의 발전이 만들어낼 더 많은 취약점

앞으로 생성형 AI가 강화되면서 봇넷과 AI 기술을 동원한 스피어피싱과 해킹이 급속히 증가하며 APT는 더욱 기승을 부릴 것으로 전망되고 있습니다. 또 스마트 홈 등의 사물 인터넷(IoT), 보안성이 담보되지 않은 각 개별 개인 장비(ByoD), 또 핵심 목표에 연결된 시스템 중 가장 취약한 연결고리를 공격하는 한편 사용자가 해킹당하고 있다는 사실을 쉽게 감지하지 못하게 하는 기술도 지속적으로 증가할 것으로 전망됩니다. 

실제 IoT에 주로 사용되는 스마트 홈 카메라, 자동차 시스템 등은 평소 주의를 기울이지 않기 쉽고, 제어할 일도 별로 없는데다, 업데이트나 패치 주기도 길며, 오작동을 감지하기 힘들기 때문입니다. 특히 앞서 언급한 TeamViewer 사건처럼 재택 근무자가 원격으로 사내 시스템을 사용할 때, 개인 PC가 기업망으로 파고들 가장 취약한 연결고리가 될 수 있습니다.

실제 지난 6월 있었던 북한 해킹그룹으로 추정되는 안다리엘의 APT 공격에서는 구형 아파치 톰캣(Apache Tomcat)을 운영 중인 웹 서버를 공격해 악성코드를 유포했었는데요. 해당 서버에서는 2013년 이후 업데이트를 진행하지 않아 수많은 취약점에 노출되어 있는 상태였습니다. 해당 APT 공격에 사용된 악성코드는 Dora RAT과 Nestdoor가 대표적이며 지속적인 침투와 정보 취득을 위해 백도어, 키로거, 클립로거 등이 사용된 것이 확인되었습니다.

Dora RAT은 Go 언어로 제작된 백도어 악성코드로 리버스 쉘, 파일 업/다운로드를 지원하는 단순한 형태의 악성코드입니다. 크게 2가지 유형이 있는데요. 단독 실행 파일로 동작하는 유형과 explorer.exe 프로세스에 인젝션 돼 동작하는 유형이 있습니다. 해커 그룹은 영국 개발사가 발급받은 인증서를 도용한 후 악성코드에 서명해 유포하여 인증서 기반의 응용 프로그램 확인 방법을 무력화시키기도 했습니다. 

또 다른 악성코드인 네스트도어는 안다리엘이 자주 사용하는 공격 도구로 공격자 명령을 전달받아 감염 시스템을 제어할 수 있는 코드인데요. 이 코드는 2022년 VMware Horizon 제품의 Log4Shell 취약점을 공격할 때 사용된 TigerRAT과 동일한 C&C 서버를 공유합니다. 과거 심각하게 받아들여졌던 Log4Shell 취약점을 악용한 공격 등 여러 공격에 함께 사용되고 있죠.

이런 피해는 한국에만 있는 것이 아닙니다. 실제로 캐나다 국세청(CRA)은 탈취된 자격증명이 제대로 검증되지 않는다는 점이 악용되어 2020년 3월부터 2023년 12월까지 31,468건의 중대한 개인정보 유출이 발생했고, 수백 명의 납세자 계정에 침입해 600만 달러 이상의 부정 환급금을 가로챈 사실까지 드러났습니다. 

해커들은 실제 우편번호를 사용하면서 존재하지 않는 '토마토 거리'와 같은 가짜 주소를 생성, 계좌 입금 정보를 변경하고 허위 신고서를 제출하는 방식으로 자금을 빼돌렸는데요. 캐나다 국세청이 과거 신속 환급을 위해 '선지급 후조사' 정책을 실시했기 때문입니다. 현재도 수많은 의심 사례가 조사를 기다리고 있는 상황이죠. 국가 단위에서도 3년 이상 지속적으로 발생한 공격을 탐지하기 힘들 정도로 APT 공격은 은밀하면서도 끈질기게 발생합니다.

​이를 방지하기 위해서는 솔루션 하나만 도입한다고 안전해지는 것이 아닙니다. 전문가들이 지속적으로 적극적이고 꼼꼼한 보안 프로세스를 구축하고 꾸준히 감시해야 하며 사용자들에 대한 보안의식 제고를 지속적으로 실시하고 훈련을 하여 평소에도 철저한 보안태세 확립이 필요합니다. 협력사 해킹 사례처럼 APT 공격의 심각성에 대해 크게 인지하지 못하는 기업들이 많은 상황인데요. 사고 이후의 대응보다 선제적 대응이 가장 먼저 준비되어야 할 것입니다.