보안정보

차세대 통합보안관리 기업
이글루시큐리티 보안정보입니다.

전문화된 보안 관련 자료, 보안 트렌드를 엿볼 수 있는
차세대 통합보안관리 기업 이글루시큐리티 보안정보입니다.

블로그 상세
APT 공격과 대응방안 2016.08.02 4 26681

  

보안컨설팅사업부 박영주 컨설턴트


1.  APT 공격이란?


1)  APT 공격의 정의

APT는 Advanced Persistent Threats(지능적 지속 위협)의 약자이다. 쉽게 설명하자면 지능적인 방법을 사용해서 지속적으로 특정 대상을 공격하는 것을 말한다. APT 공격은 과거의 불특정 다수를 노렸던 공격과는 달리 하나의 대상을 목표로 정한 후에, 내부로 침입을 성공할 때까지 다양한 IT 기술과 공격방식을 기반으로 여러 보안 위협을 생산하여 공격을 멈추지 않는 것이 특징이기 때문에 굉장히 위험한 공격이다.

 

2)  기존 악성코드 공격과의 차이점

다음은 기존 악성코드 공격과 APT공격의 차이점이다.

 

구분

악성코드 

APT 

공격 분포 

무차별 대량 살포

치밀하고 조직화된 계획

목표율 

무작위 다수

정부기관, 단체, 기업

공격 빈도

일회성

지속성

공격 기술

악성코드 디자인 

제로데이 익스플로잇 드로퍼, 백도어

탐지율

1개월 이내 샘플 발견 시 99% 탐지

1개월 이내 샘플이 발견되면 10% 이하

 


위 내용처럼 기존 악성코드와 APT공격은 모든 성격이 확연한 차이를 보이고 있다. 무차별 불특정 다수를 대상으로 공격하는 기존 악성코드와 달리 치밀하고, 조직적으로 계획하여 주로 정부기관, 단체, 기업 등을 목표로 공격을 하고 있다. 가장 핵심적인 부분은 일회성이 아닌, 시스템에 잠복하여 지속적으로 공격을 하는 것이고, 탐지 또한 어렵다는 것이다.    

 

 

2. APT 공격 사이클

 

해커들은 오랫동안 지속적으로 공격을 하기 위해서 피해자가 알지 못하도록 침투부터 유출까지 굉장히 조심스럽게 움직이는데, 이런 APT 공격 사이클은 아래 그림과 같다.

 

 

[그림 1] APT 공격 사이클

 

 


 

[그림 2] 공격의 내부 확산 과정

 

 

 정보수집 :

 

 

APT 공격은 스파이처럼 상대방 컴퓨터에 침투하는 게 특징이다. 스파이처럼 목표물을 면밀히 분석하고, 이메일 등의 사회공학적 기법을 이용해 지인이나 회사로 가장해 악성코드가 첨부된 이메일을 보낸다.

 침입 :

 

 

지인이나 회사로 가장한 이메일을 받은 직원은 아무런 의심 없이 이메일을 열고 첨부파일을 여는 순간 악성코드에 감염이 된다. 이 부분이 최초 감염되는 시점이고, 내부 시스템으로 침투하는 교두보가 된다.

 C&C 서버 통신 : 

 

 

 

C&C 서버 통신 : 해커가 유포한 악성코드에 감염이 됐다면, 해당 PC는 해커의 것이라고 봐도 무방하다. 해커는 시스템에 활동 거점을 마련하기 위해 악성코드가 실행되면 백도어 프로그램이 설치되도록 하고, 이 백도어를 통해 C&C 서버와 통신하여 원격에서 명령을 내릴 수 있도록 한다.

 확산 :

 

 

C&C 서버 통신을 이용하여 내부의 다른 PC를 차례로 감염시켜 나간다. 사내 시스템 접근 권한을 확보하기 위해 비밀번호를 추측하거나 정보들을 수집하여 점점 높은 권한을 획득하며 내부 시스템을 장악해 나간다.

 데이터 접근 : 

 

중요 데이터에 접근 가능한 관리자 급의 권한을 획득 하였다면, 실제 중요 데이터가 저장되어 있는 시스템에 접근한다.

 데이터 유출/파괴 : 

 

중요 데이터까지 접근했다면 내부 보안 프로그램이나 모니터링 등에 걸리지 않게 오랜 기간을 두고 조금씩 데이터를 유출한다.

 

 

 

 

 

 

3. APT 공격 현황 및 사례


그렇다면 이처럼 위험한 APT공격은 주로 어떤 대상을 목표로 공격을 할까? APT 공격의 궁극적인 목적은 중요 데이터의 탈취 및 파괴에 있다. 오랜 기간 동안 공들이며 공격을 하는 만큼 탈취와 파괴 하려고 하는 대상은 당연히 그만큼 중요도가 높은 것들일 것이다. 그럼 APT 공격의 주요 목표가 되는 대상과 공격 빈도, 유입 경로, 그리고 공격 사례를 알아보겠다.   


1) 주요 공격 대상

APT 공격의 주요 목표가 되는 대상은 아래 그림과 같이 정부기관, 사회 기간산업시설, 금융기업, 정보통신기업, 제조 기업 등으로 볼 수 있다. 이런 대상들이 공격을 받아 중요 데이터가 탈취 된다면 해당 기관이나 기업은 물론이고 사회적으로도 큰 문제가 발생 될 수 있을 것이다.

 



[그림 3] APT 공격 대상


2) 산업별 공격 노출률 및 유입 경로

산업별 APT 공격의 노출률을 살펴보면, 통신 산업과 정부기관이 상위 1,2위로 가장 많이 노출된 산업으로 나오고 있고 그 뒤를 이어 교육 산업, 첨단기술 사업, 금융 서비스업 등이 따라오고 있다. 이를 통해 통신, 첨단기술 산업, 정부기관 그리고 금융 서비스업이 공격의 주요 목표가 되는 것을 알 수 있다. 그리고 이런 목표들을 공격하기 위해 공격 파일을 유입시키는 경로는 압도적으로 이메일을 통한 공격이 많은 것을 볼 수 있다.

 

3) 공격 사례
지금까지 국내에서 대규모 APT 공격이 발생했던 사례로는 은행 전산망 마비, 카드사, 포털사이트, 게임회사의 개인정보 대량 유출, 3.20 사이버 테러, 원전 기밀 유출 등의 사례가 있었다. 이 중 원전 기밀 유출 사고를 사례로 살펴보겠다. 

 

 

[그림 4] 원전 기밀 유출 사고


◎ 사고의 발단은 악성코드 감염

사건의 발단은 가장 많이 공격에 사용되는 이메일을 통한 악성코드 감염이다. 해커는 원전 직원 3571명을 대상으로 악성코드가 담긴 한컴 오피스(.hwp) 파일을 보냈다. 해당 메일을 읽고 8대의 PC가 감염됐고 그 중 5대는 하드디스크 초기화와 네트워크 장애를 유발했다. 9일부터 12일까지 원전에 퍼진 악성코드는 자료 유출 기능은 없었다. 악성코드는 자료 유출 기능이 없었는데 어떻게 유출이 된 것일까? 그것은 원전 직원이 아닌 협력 업체 직원 등 관계자 이메일에 보관된 자료라고 발표됐다. 피싱 메일을 이용해 원전 관계자 이메일과 비밀번호를 수집하여 해당 계정에서 수개월간 자료를 수집했다는 것이다.


◎ APT 공격, 언제나 발생 가능



[그림 5] APT 공격 발생 빈도

 

해커는 한수원과 관계없는 문서 파일도 공개했다. 청와대, 국방부, 국정원 등 국내 주요 기관 관련 파일이다. 해당 기관들은 언제 어느 기관에서 어떻게 자료가 유출 됐는지조차 파악이 안 된다고 한다. 그만큼 치밀하고 은밀하게 시스템을 장악하고 있다는 말이 된다. 거기에 파이어아이는 한국이 세계 평균보다 두 배에 육박할 만큼 더 많은 APT 공격에 노출됐다고 발표했다. 이런 현황들을 볼 때 언제 어떻게 공격이 발생 되더라도 전혀 이상하지 않을 것 같다. 

 


4. APT 공격의 대응 방안


본인도 감염 사실을 알기 어려운 이런 공격을 어떻게 효과적으로 대응할 수 있을까? APT 공격은 제로데이 취약점 등 고급기법을 이용하여 공격하기 때문에 원천적인 방어가 힘든 공격이다. 원천적인 방어가 힘들다면 공격 사이클에 맞추어 침투 가능성을 최소로 낮추고, 빠른 탐지와 대응이 최선의 대응 방안일 것이다.

 

1) 종합적인 보안이 필요하다

고도화ㆍ다변화되고 있는 최신 위협은 개별 솔루션 위주의 단순 대응만으로는 더 이상 효과를 보기 어렵다. 게다가 기업의 비즈니스 환경 또한 복잡해지고 있어 기업이 속한 산업 군의 특성을 바탕으로 실효성 있는 보안 기술과 솔루션을 연계하는 방안을 살펴봐야 한다.

 

 

[그림 6] 종합적 보안 연계


◎ End-Point 보안 : 해커 입장에서 보면 End-Point는 내부망 침투를 위한 교두보로 만들어야 할 필수 요소라고 할 수 있다. End-Point에서 악성코드를 감염시키는 작업에서 부터 공격이 시작되므로 외부 인터페이스 통제 부터 백신, 방화벽, 악성코드 방어 솔루션 등을 사용하여 발생 가능성을 최소화 하여야 한다.

 

◎ 네트워크 보안 : 네트워크 단에서 악성코드를 분석할 수도 있다. 내부로 유입되는 파일들을 가상환경에서 실행시켜 실제 행위를 분석한 뒤 이상 유무를 점검하여 피해를 최소화 하는 방법이다. 물리적인 장치를 통해 유입되는 악성코드가 아니라면 네트워크 망을 타고 내부로 유입되는 악성코드를 탐지하고 차단하는데 효과적일 것이다.
    
◎ 서버보안 : 보다 강력한 접근 통제를 위해 2-Factor & 2-Channel 등의 인증을 통해 권한이 있다 해도 또 한번의 인증을 거쳐야만 접근 및 명령할 수 있도록 통제한다. 또 SIEM같은 시스템을 이용하여 정보시스템들의 이벤트, 로그, 감사 정보 등을 모아 장시간 심층 분석을 통해 빠른 탐지 및 대응을 하도록 한다.

 


2) 가장 효과적인 예방은 보안인식 강화!

종합적인 보안 인프라를 구축하여 공격에 대응하는 것도 굉장히 중요하다. 하지만 더 중요한 건 사용자의 보안인식 강화라고 생각한다. 모든 공격의 시작은 사용자의 부주의한 행동에서부터 시작되는 만큼 주기적인 보안교육 및 공격자가 사용하는 방법을 실제로 이용한 모의 훈련까지 한다면 굉장히 좋은 효과가 있을 것이라고 생각한다.  


* 참고 자료

[1] APT 공격, Navercast
[2] APT 방어를 위한 선제적 보안 솔루션, TREND MICRO
[3] APT 공격 방어 시스템 구축 방안, http://blogger.ke.kr
[4] 2015상반기 지능형 위협 보고서, FireEye
[5] APT 공격 대책, http://www.etnews.com/20150113000069
[6] 최신 지능형 위협 동향, Ahnlab(보안이슈)
[7] APT 공격 트렌트 & 대응방안, https://prezi.com/ppvcd73dfbgn/apt/
​ 

 

  

이전글, 다음글 목록
다음글 패스워드 없는 사용자 인증 FIDO
이전글 AWS(Amazon Web Services)와 관제방안

원하시는 계정으로 로그인 후 댓글을 남겨 주세요.

사용자 이미지
0/ 250 byte