[용어/개념] APT(Advanced Persistent Threat) - 다양하고 지속적인 지능형 타깃위협

I. 다양하고 지속적인 지능형 타깃위협, APT 개요

가. APT(Advanced Persistent Threat) 정의

특수목적을 가진 조직이 기간 시설 망 또는 핵심보안업체 등을 표적으로 삼고 다양한 IT기술과 방식들을 이용해 지속적으로 정보를 수집하고 취약점을 파악하여 이를 바탕으로 피해를 끼치는 공격

나. APT의 특징

특징	설명
명확한 타겟 (Victim) 목표	불특정 다수가 아닌 명확한 표적을 정하여 지속적인 정보수집 후 공격감행
우회공격	시스템에 직접 침투하는 것뿐 아니라, 표적 내부직원들이 이용하는 다양한 단말을 대상
지능화	한가지 기술만이 아닌 Zero-day 취약점, 악성코드 등 다양한 보안위협공격기술사용
지속적	특정조직이 특정목적을 달성하기 위해 끊임없이 새로운 기술과방식을 지속적으로 이용

 

II. APT의 공격 시나리오 및 공격기법

가. APT 공격 시나리오

 

침투 공격자가 취약한 시스템이나 직원들을 악성코드로 감염시켜 네트워크 내부로 침투	탐색 침투한 내부시스템 및 인프라구조에 대한정보를 수집한 후 다음 단계를 계획	수집 보호되지 않은 시스템상의 데이터 수집 또는 시스템운영방해	유출 (제어) - 공격자의근거자료데이터전송 - 시스템 운영방해 또는 장비파괴

 

나. APT의 공격방식

공격방식	설명
스피어피싱 (Spear Phishing)	특정인, 유명인사, 사이트 사용자를 대상으로 한 피싱공격예) PayPal을 사용하는 사용자에게만 피싱 발송
PLC (Programmable Logic Controller)	의도한 결과를 얻기 위해 오랜 기간동안 정보를 수집하는 침투공격 예) Stuxnet: 이란의 핵시설 프로그램 방해공격
익스플로잇(Exploit)	공격 타깃이 가지고 있는 취약점을 이용한 전용 제로데이 공격
내부자 위협	스피어피싱 기술을 이용하여, 내부자의 중요 정보획득
APT 라이프 사이클	수확단계에서도 새로운/즉각적 공격 침투
사회공학적 기법(Social ngineering)	신뢰하는 개인, 조직을 가장하여 악성코드 전송

* 선택과 집중의 방법을 통해 해킹대상의 집요한 지속적 공격

반응형

 

 

III. APT 공격 시나리오에 따른 공격기법

단계	공격기법	설명
침투 (Incursion) 훔친 인증정보, SQL 인젝션, 악성코드 등을사용하여 오랜시간에거쳐 공격대상 시스템에 활동 거점을 구축	관찰 (Reconnaissance)	APT 공격자들은 표적대상을 파악하기 위해 수개월에 걸쳐 철저히 분석
	사회공학 (Social Engineering)	내부 임직원의 실수 또는 부주의로첨부파일을 열도록 유도하거나 링크를 클릭하도록 하는 사회공학적 기법을 사용
	제로데이취약점 (Zero-day vulnerabilities)	개발자들이 패치를 제공하기 전 침투할 수 있는 보안상의허점
	수동공격 (Manual Operation)	자동화 대신 각각의 개별시스템과사람을 표적으로 삼고, 고도의 정교한 공격을 감행
탐색 (Discovery) APT 공격자는 한번 시스템에 침입하면 목표로 하는 기관의 시스템에 대한정보를 수집하고 기밀데이터를 자동으로 검색	다중벡터 (Multiple Vector)	APT 공격 시 일단 악성코드가 호스트 시스템내에 구축이 되면 소프트웨어, 하드웨어 및 네트워크의 취약점을 탐색하기 위해 추가적인 공격툴들을 다운로드
	은밀한 활동 (Run silent, run deep)	APT의 목표는 표적의 내부에 잠복하면서 장시간 정보를 확보 하는 것이므로, 모든 검색 프로세스는 보안탐지를 회피하도록 설계됨
	연구 및 분석 (Research and analysis)	정보 검색은 네트워크구성, 사용자아이디 및 비밀번호등을 포함하여 확보된 시스템과 데이터에 대한 연구 및 분석을 수반함
수집 (Capture) 보호되지 않은 시스템의 데이터는 공격자에게 노출	은닉 (Convert)	1차 공격 성공 후, 정상 이용자로 가장하여 정보수집 및 모니터링 활동을 진행
	권한상승 (privilege escalation & lateralization)	시스템 접근을 위한 시스템 접근권한을 가진 직원에 대한 계정정보를 수집하기 위한 각종접근행위. (브루트포스(Brute Force) : 패스워드 등의 계정정보를 획득)
제어 (Control) APT 공격자는 표적시스템의 제어권한을 장악하여, 각종 기밀 데이터를 유출하며 SW 및 HW에 손상을 입힘	유출 (Exfiltration)	기밀 데이터가 웹메일 또는 암호화된 패킷, 압축파일의 형태로 공격자에게 전송
	중단 (Disruption)	APT 공격자는 원격시동 이나 SW, HW 시스템을 자동 종료 할수도 있음

 

 

IV. APT 대응방법

 

가. APT 대응체계

• APT 공격은 지능적이며, 고도의 기술력을 기반으로 행해지는 공격이므로, End-to-End로 전방위적인 보안체계수립이 필요하며, 망분리와 요소기술을 기반으로 안전한 시스템아키텍처를 제시함
• 또한 침해사고대응센터와 시큐리티대응센터를 분리, 운영하여, 예방과 대응활동을 균형 있게 추진

APT 대응체계

 

반응형

V. APT 대응활동

• APT 발생이전과 이후로 나누어, 위험예방전략, 악성코드유입최소화, 악성코드 감염예방, 데이터유출예방, 위험탐지와 대응활동 등을 수행

시기	활동	내용
위험발생 이전 (시큐리티 대응센터)	위험 예방 전략 수립	보안관제 수행 위험분석 수행 보안전략 유효성 분석
위험발생 이전 (시큐리티 대응센터)	악성코드 유입 최소화	보안 인식 교육 수행 지속적 보안 업데이트 관리 보안 소프트웨어 설치 및 운영
위험발생 이후 (침해사고 대응센터)	악성코드 감염 예방	어플리케이션 화이트리스트 접근 권한의 최소화 네트워크 접근 제한 및 분리 신원확인 및 접근 권한관리
위험발생 이후 (침해사고 대응센터)	데이터 유출 예방	중요 데이터 보호 중요 데이터 유출 예방
위험발생 이후 (침해사고 대응센터)	위험 탐지와 대응	호스트 및 네트워크 이상징후 탐지 침해사고 대응 프로세스 수행 침해사고 포렌식 프로세스 수행

 

 

VI. APT 공격에 대한 대응방법

대응방법	보안 강화 내용	대상 조직
보안관리 및 운영	조직의 종합적인 보안위험 분석 후 보안체계 재정비	보안정책관리 조직
보안교육 강화	조직 구성원들의 적극적인 참여 유도, 효과적인 보안교육 실시	임직원 대상
엔드포인트 보안	APT공격의 1차대상인 엔드포인트 보안 강화 인터넷, 이메일, 메신저, P2P 통신서비스 제한	엔드포인트 단말
접근권한관리	조직의 중요정보보호에 대한 접근권한관리, 권한관리자 최소화, 접근권한 세분화, 사람/기기 인증 추가	권한관리 인가자
중요정보 암호화 및 DLP운영	조직 내 중요정보는 암호화 저장, 정보유출방지를 위한 DLP(Data Loss Prevention)솔루션 운영	암호화 솔루션
계층형 방어 (Layered Defence)	단계별, 용도별 배치로 계층적 방어 구현	CPNT Layered 방어

• APT공격은 조직적으로 하나의 표적을 대상으로 장기간 지속적으로 이루어지므로, 조직내부의 구성원들의 체계적인 대응이 무엇보다도 중요함.
• 외부에서 들어오는 공격과 내부에서 유출되는 것을 동시에 감시 및 대응하는 종합적인 대책 필요

 

[용어/개념] Network - IP, 서브넷 마스크(Subnet Mask), 서브네팅(Sub-neting)

[용어/개념] Network - IP, 서브넷 마스크(Subnet Mask), 서브네팅(Sub-neting)

 

[용어/개념] ISO27701 인증 제도 - 개인 정보 보호 경영 시스템

[용어/개념] ISO27701 인증 제도 - 개인 정보 보호 경영 시스템

 

[용어/개념] Network - OSI 7 Layer 기본

[용어/개념] Network - OSI 7 Layer 기본