반응형
I. 다양하고 지속적인 지능형 타깃위협, APT 개요
가. APT(Advanced Persistent Threat) 정의
특수목적을 가진 조직이 기간 시설 망 또는 핵심보안업체 등을 표적으로 삼고 다양한 IT기술과 방식들을 이용해 지속적으로 정보를 수집하고 취약점을 파악하여 이를 바탕으로 피해를 끼치는 공격
나. APT의 특징
특징 | 설명 |
명확한 타겟 (Victim) 목표 |
불특정 다수가 아닌 명확한 표적을 정하여 지속적인 정보수집 후 공격감행 |
우회공격 | 시스템에 직접 침투하는 것뿐 아니라, 표적 내부직원들이 이용하는 다양한 단말을 대상 |
지능화 | 한가지 기술만이 아닌 Zero-day 취약점, 악성코드 등 다양한 보안위협공격기술사용 |
지속적 | 특정조직이 특정목적을 달성하기 위해 끊임없이 새로운 기술과방식을 지속적으로 이용 |
II. APT의 공격 시나리오 및 공격기법
가. APT 공격 시나리오
침투 공격자가 취약한 시스템이나 직원들을 악성코드로 감염시켜 네트워크 내부로 침투 |
탐색 침투한 내부시스템 및 인프라구조에 대한정보를 수집한 후 다음 단계를 계획 |
수집 보호되지 않은 시스템상의 데이터 수집 또는 시스템운영방해 |
유출 (제어) - 공격자의근거자료데이터전송 - 시스템 운영방해 또는 장비파괴 |
나. APT의 공격방식
공격방식 | 설명 |
스피어피싱 (Spear Phishing) |
특정인, 유명인사, 사이트 사용자를 대상으로 한 피싱공격예) PayPal을 사용하는 사용자에게만 피싱 발송 |
PLC (Programmable Logic Controller) |
의도한 결과를 얻기 위해 오랜 기간동안 정보를 수집하는 침투공격 예) Stuxnet: 이란의 핵시설 프로그램 방해공격 |
익스플로잇(Exploit) | 공격 타깃이 가지고 있는 취약점을 이용한 전용 제로데이 공격 |
내부자 위협 | 스피어피싱 기술을 이용하여, 내부자의 중요 정보획득 |
APT 라이프 사이클 | 수확단계에서도 새로운/즉각적 공격 침투 |
사회공학적 기법(Social ngineering) | 신뢰하는 개인, 조직을 가장하여 악성코드 전송 |
* 선택과 집중의 방법을 통해 해킹대상의 집요한 지속적 공격
반응형
III. APT 공격 시나리오에 따른 공격기법
단계 | 공격기법 | 설명 |
침투 (Incursion) 훔친 인증정보, SQL 인젝션, 악성코드 등을사용하여 오랜시간에거쳐 공격대상 시스템에 활동 거점을 구축 |
관찰 (Reconnaissance) |
APT 공격자들은 표적대상을 파악하기 위해 수개월에 걸쳐 철저히 분석 |
사회공학 (Social Engineering) |
내부 임직원의 실수 또는 부주의로첨부파일을 열도록 유도하거나 링크를 클릭하도록 하는 사회공학적 기법을 사용 | |
제로데이취약점 (Zero-day vulnerabilities) |
개발자들이 패치를 제공하기 전 침투할 수 있는 보안상의허점 | |
수동공격 (Manual Operation) |
자동화 대신 각각의 개별시스템과사람을 표적으로 삼고, 고도의 정교한 공격을 감행 | |
탐색 (Discovery) APT 공격자는 한번 시스템에 침입하면 목표로 하는 기관의 시스템에 대한정보를 수집하고 기밀데이터를 자동으로 검색 |
다중벡터 (Multiple Vector) |
APT 공격 시 일단 악성코드가 호스트 시스템내에 구축이 되면 소프트웨어, 하드웨어 및 네트워크의 취약점을 탐색하기 위해 추가적인 공격툴들을 다운로드 |
은밀한 활동 (Run silent, run deep) |
APT의 목표는 표적의 내부에 잠복하면서 장시간 정보를 확보 하는 것이므로, 모든 검색 프로세스는 보안탐지를 회피하도록 설계됨 | |
연구 및 분석 (Research and analysis) |
정보 검색은 네트워크구성, 사용자아이디 및 비밀번호등을 포함하여 확보된 시스템과 데이터에 대한 연구 및 분석을 수반함 | |
수집 (Capture) 보호되지 않은 시스템의 데이터는 공격자에게 노출 |
은닉 (Convert) |
1차 공격 성공 후, 정상 이용자로 가장하여 정보수집 및 모니터링 활동을 진행 |
권한상승 (privilege escalation & lateralization) |
시스템 접근을 위한 시스템 접근권한을 가진 직원에 대한 계정정보를 수집하기 위한 각종접근행위. (브루트포스(Brute Force) : 패스워드 등의 계정정보를 획득) | |
제어 (Control) APT 공격자는 표적시스템의 제어권한을 장악하여, 각종 기밀 데이터를 유출하며 SW 및 HW에 손상을 입힘 |
유출 (Exfiltration) |
기밀 데이터가 웹메일 또는 암호화된 패킷, 압축파일의 형태로 공격자에게 전송 |
중단 (Disruption) |
APT 공격자는 원격시동 이나 SW, HW 시스템을 자동 종료 할수도 있음 |
IV. APT 대응방법
가. APT 대응체계
- APT 공격은 지능적이며, 고도의 기술력을 기반으로 행해지는 공격이므로, End-to-End로 전방위적인 보안체계수립이 필요하며, 망분리와 요소기술을 기반으로 안전한 시스템아키텍처를 제시함
- 또한 침해사고대응센터와 시큐리티대응센터를 분리, 운영하여, 예방과 대응활동을 균형 있게 추진
반응형
V. APT 대응활동
- APT 발생이전과 이후로 나누어, 위험예방전략, 악성코드유입최소화, 악성코드 감염예방, 데이터유출예방, 위험탐지와 대응활동 등을 수행
시기 | 활동 | 내용 |
위험발생 이전 (시큐리티 대응센터) |
위험 예방 전략 수립 | 보안관제 수행 위험분석 수행 보안전략 유효성 분석 |
위험발생 이전 (시큐리티 대응센터) |
악성코드 유입 최소화 | 보안 인식 교육 수행 지속적 보안 업데이트 관리 보안 소프트웨어 설치 및 운영 |
위험발생 이후 (침해사고 대응센터) |
악성코드 감염 예방 | 어플리케이션 화이트리스트 접근 권한의 최소화 네트워크 접근 제한 및 분리 신원확인 및 접근 권한관리 |
위험발생 이후 (침해사고 대응센터) |
데이터 유출 예방 | 중요 데이터 보호 중요 데이터 유출 예방 |
위험발생 이후 (침해사고 대응센터) |
위험 탐지와 대응 | 호스트 및 네트워크 이상징후 탐지 침해사고 대응 프로세스 수행 침해사고 포렌식 프로세스 수행 |
VI. APT 공격에 대한 대응방법
대응방법 | 보안 강화 내용 | 대상 조직 |
보안관리 및 운영 | 조직의 종합적인 보안위험 분석 후 보안체계 재정비 | 보안정책관리 조직 |
보안교육 강화 | 조직 구성원들의 적극적인 참여 유도, 효과적인 보안교육 실시 | 임직원 대상 |
엔드포인트 보안 | APT공격의 1차대상인 엔드포인트 보안 강화 인터넷, 이메일, 메신저, P2P 통신서비스 제한 |
엔드포인트 단말 |
접근권한관리 | 조직의 중요정보보호에 대한 접근권한관리, 권한관리자 최소화, 접근권한 세분화, 사람/기기 인증 추가 | 권한관리 인가자 |
중요정보 암호화 및 DLP운영 | 조직 내 중요정보는 암호화 저장, 정보유출방지를 위한 DLP(Data Loss Prevention)솔루션 운영 | 암호화 솔루션 |
계층형 방어 (Layered Defence) |
단계별, 용도별 배치로 계층적 방어 구현 | CPNT Layered 방어 |
- APT공격은 조직적으로 하나의 표적을 대상으로 장기간 지속적으로 이루어지므로, 조직내부의 구성원들의 체계적인 대응이 무엇보다도 중요함.
- 외부에서 들어오는 공격과 내부에서 유출되는 것을 동시에 감시 및 대응하는 종합적인 대책 필요
[용어/개념] Network - IP, 서브넷 마스크(Subnet Mask), 서브네팅(Sub-neting)
[용어/개념] ISO27701 인증 제도 - 개인 정보 보호 경영 시스템
[용어/개념] Network - OSI 7 Layer 기본
반응형