방송통신기술이슈 & 전망 2013 년제 3 호 요약 이란원자력발전시설해킹 스턱스넷사건 해킹등으로널리알려진 공격이란 목표를정하여 복합적이고지능적인수단으로써 지속적으로 위협을일으키는해킹공격이라개념지을수있다 공격에의한피해양상은 피해기관소유의정보에대하여피해가발생하는경우와제 자

방송통신기술이슈 & 전망 2013 년제 3 호 Advanced Persistent Threat (APT 공격 ) 에대한법적대응방안 Korea Communications Agency 2013.09.16

방송통신기술이슈 & 전망 2013 년제 3 호 요약 이란원자력발전시설해킹 스턱스넷사건 해킹등으로널리알려진 공격이란 목표를정하여 복합적이고지능적인수단으로써 지속적으로 위협을일으키는해킹공격이라개념지을수있다 공격에의한피해양상은 피해기관소유의정보에대하여피해가발생하는경우와제 자가맡기거나제 자로부터수집한정보에대하여피해가발생하는경우로나눌수있는바 후자의경우가법적으로는좀더복잡하다 후자의경우 피해기관은공격자에대하여정보통신기반보호법제 조 주요정보통신기반시설침해행위등의금지 정보통신망법제 조 정보통신망침해행위등의금지 및제 조 비밀등의보호 등을근거로민 형사상책임을물을수있지만 전자와달리원칙적으로피해기관스스로도법령이정한안전성확보조치의무를부담하므로보안상과실이있는경우정보주체등에대하여법적책임을부담할수있다 더불어피해기관은행정기관등에게신고의무등을부담하는경우도있다 1. APT 공격의개념 지능형지속적해킹공격 으로해석되는 공격 이란 특정표적을대상으로하여다양한해킹기술을이용하여지속적으로정보를수집하고수집된정보를바탕으로침투하여피해를끼치는지능적인해킹수법을말한다 즉기존의불특정다수에대한투망식해킹수법과는달리정치적 사회적 경제적 기술적 군사적으로중요한특정대상이나특정피해를정하여공격하며 장기적으로정보를수집하고지속적으로치밀한공격을감행하며 목표달성에필요하다면내부직원을이용한다든지또는사회공학적기법을활용한다든지하는등의복합적이고지능적인공격수법을시도하고있다 이용어는 년경미국공군에서특정보안위협의형태를지칭하는정부부처간의 커뮤니케이션용국방용어로서최초로사용하였다고알려져있다 이후이용어는민 간에서도사용되면서수년사이에좀더정밀하게정의되었다 우선 의문언적의미는 개선된 또는 고도의 이지만 공격에서는 공격자가사용하는기술적인수준과범위가다양함을의미하고있다 공격을감 행하는공격자는보안취약점이발견되었을때그문제가널리공표되기도전에그취 2

Advanced Persistent Threat(APT 공격 ) 에대한법적대응방안 약점을이용하여공격하는제로데이 취약점공격 목표시스템이나기존의보안제품을우회하는특수목적의악성코드를제작하여행하는공격등 인프라와관련된다양한기술을이용한다 의문언적의미는 끈질긴 또는 지속적인 인바 공격을감행하는공격자는정보수집을통한탐지방해나보안조치회피시도가포함된새로운기술을통하여지속적인공격을행함으로써치명적인피해를주게된다 의문언적의미는 위협 인바 공격에서의위협은자동화된해킹툴을이용한위협뿐만아니라보안취약점에대한기술적인위협 악성코드의위협 사람이직접표적을분석하고시도하는사회공학적위협등을모두포함한다 정리하면 공격이란 목표를정하여 복합적이고지능적인수단으로써 지속적으로 위협을일으키는해킹공격이라개념지을수있다 2. APT 공격사례 가 외국의사례 오퍼레이션오로라사건 년 월경 해킹을통하여구글 다우케미컬 모건스탠리등의 개회사에서기밀을빼내가는사건이발생하였다 이공격은 년경중국소재구글직원이마이크로소프트메신저를하다악성웹사이트링크가탑재된링크를클릭함으로써발생하였고 인터넷익스플로러 의제로데이취약점을이용하였다 오퍼레이션오로라 로불리는이공격에서 공격자들은구글본사에저장되어있는소프트웨어소스코드까지접근할수있었다 스턱스넷사건 년 월경 스턱스넷 이라는악성코드에의하여공격당한이란의원자력기반핵시설과발전시설중원심분리기가동을중단한사태가발생하였다 스턱스넷악성코드는독일지멘스사의 작업공정감시및산업제어시스템 의소프트웨어를공격대상으로삼았고 마이크로소프트사소프트웨어의제로데이취약점을이용하였으며 를통하여감염되도록되어있다 나이트드래곤사건 년경 쉡 엑슨모빌 등의미국의에너지기업들이해킹을당하는사태가발생하였다 이해킹은 년도부터시작되었으며중국의 에서이루어진공격이었다 나이트드래곤 이라고불리는이공격에서 공격자는웹서버에대한 인젝션공격 이메일을통한스피어피싱공격등을통하여원 3

방송통신기술이슈 & 전망 2013 년제 3 호 하는서버에접속한다음 에너지생산시스템에관한정보 재정문서등을비롯하여기 밀을유출하였다 해킹 년 월경 미국의대표적인암호전문보안기업인 가해킹당하여 의 제품인시큐어 의기밀정보가유출당하였다 공격자는 직원에게리크루팅회사의웹마스터이름으로이메일을보냈다 이메일을받은사람이파일을열자마자어도비플래시의제로데이취약점을이용하여공격자의원격접속이가능해졌고 이통로를통하여공격자는 기밀정보에접근할수있었다 듀큐사건 년 월경 스턱스넷 로불리는듀큐가등장했다 기본적으로스턱스넷과비슷해스턱스넷 라불리며파일명이 를포함해듀큐라고이름이정해졌다 스턱스넷은스카다 시스템을타깃으로한공격코드였지만듀큐는현재까지는단지정보수집기능을가지는악성코드라는점에서차이가있다 플레임사건 년 월경 카스퍼스키사는중동지역에서스턱스넷보다정교하고강력한플레임 이라는악성코드를발견하였다 플레임의주요기능은정보수집으로 감염시스템으로부터녹음데이터 문서파일 화면캡처 네트워크정보등을 서버로전송하고 자기자신을네트워크및 저장장치를통하여전파하는것으로알려졌다 나 우리나라의사례 농협해킹 년 월경 농협전산망에있는자료가대규모로손상되어수일동안금융서비스가중단되었다 이사건은외주업체직원이우연히웹하드에서무료로영화를다운로드받다가악성코드에감염됨으로써발생하였다 공격자들은 개월정도잠복하면서최고관리자등의정보를탈취하고 마침내공격명령을내려농협서버를파괴하였다 현대캐피탈해킹 년 월경 현대캐피탈의고객정보가유출되는사고가발생하였다 이사건은공격자가업무관리자의아이디와비밀번호를습득한후보조서버인광고메일발송서버와정비내역조회서버에침입하여개인정보화면을복사하거나개인정보목록을다운받는방식으로이루어졌다 컴즈해킹 년 월경 공격자는무료공개프로그램인알집광고업데이트 4

Advanced Persistent Threat(APT 공격 ) 에대한법적대응방안 과정을통하여 컴즈 기술팀직원의컴퓨터에역접속을시도하는기능을가진악성프로그램을유포하고 중국에서원격접속하여피고 컴즈정보통신망에침입하였으며 이후회원정보가저장되어있는데이터베이스서버에침입하여서버에서처리 보관하고있는 만명의개인정보를유출하였다 해킹 년 월경 의개인정보서버에서 만명의개인정보가유출되는사태가발생하였다 공격자는대리점인증프로그램을변조하고퇴직자의정보를활용하여인증과정을우회한상태에서개인정보시스템에접속할수있도록조치한다음 약 개월동안 만명의개인정보를유출 텔레마케팅업체에판매하였다 해킹 최초의희생자는북한발악성코드가실린이메일을전송받아감염되었다 악성코드는확산되었지만기존의 솔루션은이를감지하지못하였고 피해는 농협등의금융사와언론사로번지기시작하였다 전산망은정지하고 매스터부크레코드 를삭제하는악성프로그램으로인하여 만 천여대의 의하드디스크가삭제되었으며 대의서버가타격을받았다 해킹 년 월 일경 청와대홈페이지와주요정부기관등이사이버공격에노출되었으며 웹하드파일을변조하는방법을통해서악성코드를다량으로유포하였으며 유포된악성코드를통해서좀비 를생성하고대규모봇넷을구성하여지정된시간에 공격을수행하였다 3. APT 공격의단계 가 단계 목표설정 공격자는우선공격대상인표적을정하는바 성공적인공격수행을위하여표적을 분석하고실효적인공격방법에대하여연구를실시한다 공격대상은정치적인목적에 서설정될수도있고 또는경제적인목적에서설정될수도있다 나 단계 정보수집 공격대상인표적을정하면 침입에필요한자료나공격기법을물색한다 침입에필요한 5

방송통신기술이슈 & 전망 2013 년제 3 호 자료로는 공격대상의위치 연혁 인적조직 서버위치 보안용역업체를맡은업체등회사에관한자료부터 임직원의성향및기호 사회적관계등구성원에관한자료까지망라한다 이과정에서취약점이나공격포인트를찾게되며 이정보를근거로공격기법을선택하게된다 다 단계 공격침투 공격침투는직접방어벽을뚫거나서버에침투하는방법을쓰기보다는공격대상의임직원을사회공학적기법으로유혹하여악성코드를내부에침투시키는방법을활용하여이루어진다 예컨대악성링크나악성코드를실어동창회메일또는회사리크루팅메일인양속여보내는방법등이많이쓰인다 스피어피싱 이때악성코드는아직발견되지않은보안취약점을이용하거나 제로데이공격 기존 보안제품에서탐지하지못한것을사용한다 라 단계 세력확산 일단공격침투에성공하게되면백도어 를통하여원격통제한다 공격자는은닉상태로정보수집과모니터링활동을통하여수집가능한모든정보를수집하면서 방어시스템을회피하거나권한자의아이디나비밀번호까지취득하게된다 수집된정보를통하여권한이상승하게되면 중요데이터에접근할수있는방법이나정보를유출할수있는구체적인방법 방어시스템을회피할수있는방법 공격이탐지된경우에대응할수있는방법등을연구한다 마 단계 정보유출 단계까지순조롭게마치게되어공격자가마침내중요데이터에접근할수있게되면 파괴하거나경유서버를활용하여피해자의추적을따돌리면서공격자의근거지로중요데이터를빼오게된다 이때지속적으로쌓이는데이터를그때마다유출시킬수도있지만단기간에속전속결로유출시킬수도있다 6

Advanced Persistent Threat(APT 공격 ) 에대한법적대응방안 4. APT 공격에의한피해유형 공격은금전적목적을달성하고자행해지는경우도있지만 정치적 기술적 사회적목적을달성하기위하여행해지는경우도다반사이다 특히국가나거대조직의지원을받아 공격을하는경우에있어서는 정치적 기술적 사회적목적달성에주안을두고행하여지고있다 공격자로부터 공격을당하는피해자는개인일수도있고기업일수도있으며 공공기관일수도있다 이하 피해기관 이라함 피해양상을기준으로하여 피해기관소유의정보에대하여피해가발생하는경우 제 자가맡기거나제 자로부터수집한정보에대하여피해가발생하는경우로분류할수있다 법적으로보면 피해기관소유의정보에대하여피해가발생하는경우와제 자가맡기 거나제 자로부터수집한정보에대하여피해가발생하는경우는확연하게다른구조 를가지고있다 피해기관이자신의정보를보관하고있는경우 피해기관은자신이보관하는정보의관리에관한법적인의무를원칙적으로부담하지않는다 예컨대중요한회사의설계도면을회사서버에보관하는경우 설계도면은제 자의것이아니라그회사의소유물이므로 설계도면의보관이나관리상의법적의무가회사에게주어지지않는다 따라서피해기관의정보가 공격에의하여유출 훼손 파괴등의피해를입었더라도 법적문제는복잡하지않고단지피해기관의공격자에대한법적구제책만을고려하면된다 하지만피해기관이제 자의정보를보관하고있는경우 예컨대클라우드서비스제공자가제 자의설계도면을보관하고있는경우 포털이가입자의개인정보를보관하고있는경우 공공기관이주민등록번호등을보관하고있는경우 수탁기관이의료정보를보관하고있는경우등은피해기관은원칙적으로자신이보관하는정보의관리에관하여계 상또는법적인의무를부담하게된다 따라서피해기관이 공격에의하여유출 훼손 파괴등의피해를입었다면 법적문제는복잡해지며 특히정보주체등의피해기관에대한법적구제책까지고려해야한다 아래에서는 후자즉피해기관이제 자의정보를보관하고있는경우를중심으로설명하 면서 전자즉피해기관이자신의정보를보관하고있는경우를포섭시켜논하고자한다 7

방송통신기술이슈 & 전망 2013 년제 3 호 5. 피해기관의법적대응방안 가 공격자에대한법적대응방안 제 자의정보를보관하고있는피해기관은법적으로또는계약상으로제 자의정보에대한안전성확보조치를하여야한다 예컨대정보통신서비스제공자라면 정보통신망법제 조에의하여개인정보에관한안전성확보보호조치를취할의무가있으며 같은법제 조에의하여정보통신서비스의제공에사용되는정보통신망의안정성및정보의신뢰성을확보하기위한보호조치를취하여야한다 이때기준이될수있는고시가바로 개인정보의기술적 관리적보호조치기준 또는 정보보호조치에관한지침 이다 보관자가개인정보보보호법상의공공기관이거나또는개인정보처리자라면 개인정보보호법제 조 및 개인정보의안전성확보조치기준 에따른안전성확보에필요한안전조치의무를이행하여야하며 금융기관이라면 전자금융거래법제 조 및 전자금융감독규정 에따라서전자금융거래가안전하게처리될수있도록안전성확보의무를이행하여야한다 공격과관련한안전성확보조치를개괄적으로살펴보면 정보보호조직을구성 운영하면서 정보보호계획등을수립및관리하여야하고 관리용단말기로의외부접속은차단되어야하며 주기적보안패치및악성소프트웨어예방 탐지활동을실시하여야하고 불필요한프로토콜및서비스제거등보안설정을하여야하며 이상징후탐지를알리는모니터링및경고기능을설정하여운영하여야하고 는외부망에서직접접속할수없도록네트워크를구성하여야하며 주민등록번호 신용카드번호및계좌번호 정보자산현황등은안전한암호알고리듬으로암호화하여저장하여야한다 예컨대서울서부지방법원 선고 가합 판결은 컴즈사건에서 공격의대응방안과관련하여 회사는 직원들이보안에취약한무료공개소프트웨어를사용하지않도록관리감독을하여야하며 정보통신망의안정성등을확보하기위해게이트웨이와개인정보관리자 등에서불필요한 프로토콜을제거할의무가있고 시스템을오랫동안로그아웃하지않아 보안장치로설치된 일회용비밀번호 를형해화되게끔하지말았어야했으며 개인정보가보관된 의접속내역및 에접속하여수행하는업무내역을실시간으로모니터링하고 통 8

Advanced Persistent Threat(APT 공격 ) 에대한법적대응방안 상적으로수행되는업무와다른형태의업무가수행되거나비정상적인트래픽이발생할경우이를탐지할의무가있으며 보안강도가다른해쉬함수에비해낮아서일반적으로권고되지않는암호화방법인 를사용하지말아야한다는취지로판시하였다 다만위에서열거한안전성확보조치들을제대로이행했는지여부는피해기관이공격자 에대하여법적책임을추궁하는데장애요소가되지않는다 그리고 공격자는우 발범이아니고고의범에해당하므로과실상계또한고려하지않아도될것이다 피해기관은공격자에대하여형사책임을물을수있다 이때근거가되는조문이정보통신기반보호법제 조 주요정보통신기반시설침해행위등의금지 정보통신망법제 조 정보통신망침해행위등의금지 및제 조 비밀등의보호 형법제 조 비밀침해 제 조의 컴퓨터등사용사기 제 조 재물손괴등 전자금융거래법제 조 벌칙 등이다 피해기관은공격자에대하여민사상손해배상책임도물을수있다 예컨대 악성프로그램유포에대하여는정보통신망법제 조제 항 악성프로그램으로인한무단원격접속에대하여는정보통신망법제 조제 항 좀비 를활용하여 공격을하는경우제 조제 항으로써법적책임을물을수있다 만일피해기관자신의정보중피해가발생한정보가단순한정보가아니라영업비밀이나산업기술에해당한다면 영업비밀보호법제 조 벌칙 제 조 영업비밀침해행위에대한금지청구권등 제 조 영업비밀침해에대한손해배상책임 또는산업기술유출방지법상의제반조치를취할수있다 한편 피해기관이공격자에대하여적극적으로정당방위적역해킹 을할수있는지에대하여최근에논의가다시깊어지고있다 전통적으로이러한역해킹은불법으로규정지어져왔고현재에도여전히이런사고가대부분의사람들의머릿속에강하게남아있는상황이기는하지만 미국을중심으로합법화주장이힘을얻어가고있다 나 정보주체등에대한법적대응방안 타인의정보를보관하고있는보관자는침해사고예 경보 보안취약점 계정 비밀번 호관리방안등의정보를지속적으로제공하여야한다 더불어피해기관이보관하고 9

방송통신기술이슈 & 전망 2013 년제 3 호 있는제 자의정보에피해가발생한경우 피해기관은법적으로정보주체등에게통지 피해최소화등의조치의무를이행하여야하는경우가있다 예컨대정보통신서비스제공자등은개인정보의분실 도난 누출사실을안때에는지체없이해당이용자에게통지하여야하고 정보통신망법제 조의 제 항 개인정보의누출등에대한대책을마련하고그피해를최소화할수있는조치를강구하여야한다 제 항 개인정보보호법이적용되는공공기관이나개인정보처리자도마찬가지이다 개인정보보호법제 조 위통지의무를제대로이행하지않은경우과태료처분에처해질수있다 사후조치와관련하여일단개인정보가유출된경우에도사후적으로회수를하여정보주체에대한손해배상책임을면한사례가있다 예컨대 년 월대법원은 칼텍스사건에서 개인정보가유출된후저장매체에저장된상태로공범들과언론관계자등에게유출되었지만언론보도직후개인정보가저장된저장매체등을소지하고있던사건관련자들로부터저장매체와편집작업등에사용된컴퓨터등이모두압수 임의제출되거나폐기된점 개인정보가유출된흔적도보이지아니하여제 자가개인정보를열람하거나이용할수는없었다고보이는점등제반사정에비추어볼때 개인정보유출로인하여위자료로배상할만한정신적손해가발생하였다고보기는어렵다 고판시하였다 대법원 선고 다 판결 다 행정기관등에대한법적대응방안 피해기관의행정기관등에대한의무는정보수집협조 피해확산방지및사후대응과관련되어있고 법조문으로는통지나신고의무로표현되어있다 예컨대주요정보통신기반시설을관리하는기관의장은침해사고가발생하여소관주요정보통신기반시설이교란 마비또는파괴된사실을인지한때에는관계행정기관 수사기관또는인터넷진흥원에그사실을통지하여야한다 정보통신기반보호법제 조 정보통신서비스제공자나데이터센터 집적정보통신시설사업자 역시침해사고가발생하면즉시그사실을미래창조과학부장관이나한국인터넷진흥원에신고하여야한다 정보통신망법제 조의 나아가이들은침해사고의원인을분석하고피해의확산을방지할의무도있다 제 조의 금융기관등은과거정보통신망법에의하여신고의무를이행하였으나 전자금융거래법 10

Advanced Persistent Threat(APT 공격 ) 에대한법적대응방안 개정으로금년 월 일부터는금융위원회에통지하여야한다 전자금융거래법제 조 의 신고의무와통지의무가중복적용되는지는논의가있음 이러한통지나신고의무있는자가이를제대로이행하지않은경우 과태료처분에 처해질수있다 6. 정보주체등의법적대응방안 가 피해기관에대한법적대응방안 피해기관의부주의로정보주체등이보관한정보에대하여피해가발생하였다면 정보주체등은피해기관에대하여계약상 법적책임을물을수있다 계약상책임은둘사이의약정에의하여결정되겠지만 이러한계약이없더라도피해기관은법적책임을질수있다 정보주체등은피해기관에대하여정보통신망법 개인정보보호법 전자금융거래법등이규정한손해배상을청구할수있고 부주의를원인으로하여형사고소를할수있으며 신고등을하여과태료 과징금등의부과를유도할수있다 다만피해기관이미리한국인터넷진흥원으로부터 개인정보보호관리체계 인증을마친경우에는개인정보관련사고가발생하더라도과태료 과징금의감면혜택을누릴수있다 피해기관의책임을논함에있어핵심은 피해기관의보안상부주의 인데 어느정도의보안상의과실이있어야법적책임을지는지에대하여논란이많다 보안상의과실을논함에있어기준이되는것이앞서언급한 개인정보의기술적 관리적보호조치기준 또는 정보보호조치에관한지침 개인정보의안전성확보조치기준 전자금융감독규정 등이다 이들기준이부주의판단에있어어떻게작용되는지에관하여 이들기준이최소한의기준으로서적용되므로이들기준을지켰다고하여면책되는것은아니라는의견과이들기준을지키면당연히면책된다는의견의대립이있다 나 공격자에대한법적대응방안 정보주체등이공격자에대하여취할수있는법적조치는피해기관이공격자에대하 11

방송통신기술이슈 & 전망 2013 년제 3 호 여취할수있는법적조치와크게다르지않다 정보주체등이공격자의행위외에 피해기관의부주의까지문제삼는다면 공격자와피해기관이정보주체등에대하여공 동불법행위자가될수도있다 7. 결어 공격은지능적 지속적으로이루어지지만최근의경향은조직적으로이루어지고있다 따라서 공격에대한대응역시내부구성원들의체계적인대응이무엇보다도중요하게되었다 이러한경향에맞추어각종법령상의보안지침도조직적 체계적대응을강조하면서업그레이드되어가는추세이다 이러한점을고려하면 단순히 보안솔루션에만의존하여보안조치를취하고만족하기보다는각종법령상의보안지침의취지및내용을제대로이해하고잘준수하려는노력이 공격에대한대응의첫걸음이되어야할것이며 기술적대응에앞서법적대응을충분히우선적으로고민해야할것이다 12

Advanced Persistent Threat(APT 공격 ) 에대한법적대응방안 한성백 홍성권 공격에대한금융권에서의대응방안 정보보호학회지제 권제 호 보안뉴스 스턱스넷이우리에게준교훈 보안뉴스 잇따른미군수업체해킹 해킹여파 보안뉴스 과연스턱스넷 듀큐 에긴장하고있나 보안뉴스 악성코드 플레임 기술적분석내용이궁금하다면 보안뉴스 농협사이버테러사건그이후 보안뉴스 현대캐피탈국내총책검거 덤으로정보유출범도입건 보안뉴스 사이버테러 언론사내부인트라넷통해악성파일전파 한성백 홍성권 공격에대한금융권에서의대응방안 정보보호학회지제 권제 호 보안뉴스 바로알기 13

방송통신기술시장 정책콘텐츠 발행호 2013 년제 3 호 발간물명 Advanced Persistent Threat(APT 공격 ) 에대한법적대응방안