고급 지속적 위협(APT)이란 무엇인가요?"

고급 지속적 위협(APT)은 시간이 지남에 따라 지속되는 정교한 표적 공격입니다. 이 가이드는 APT의 특성, 전술 및 조직에 침투하는 방법을 살펴봅니다.

APT 공격의 단계와 탐지 및 방지에 있어 위협 인텔리전스의 중요성에 대해 알아보세요. APT를 이해하는 것은 조직이 사이버 보안 방어를 강화하고 이러한 은밀한 위협에 효과적으로 대응하기 위해 매우 중요합니다.

고급 지속적 위협(APT) 정의

고급 지속적 위협은 범죄자들이 협력하여 데이터를 훔치거나 시스템에 침투하는 사이버 공격으로, 장기간에 걸쳐 종종 탐지되지 않습니다. 이러한 공격의 대부분은 다른 정부를 약화시키려는 국가 주도의 공격입니다.

반면 악성코드 및 피싱 사기와 같은 다른 사이버 공격은 며칠 만에 효과를 발휘하는 반면, APT는 수개월 또는 수년에 걸쳐 진행될 수 있습니다.

APT 그룹은 더 어려운 과제를 해결하기 위해 구성되지만, 생각만큼 비용이 많이 들지 않습니다. APT 공격 비용은 는 2019년 보고된 바에 따르면 15,000달러(약 2,000만 원)까지 낮게 책정되었습니다. 이러한 공격에서 가장 비용이 많이 드는 부분은 상업용 침투 테스트 도구로, 시스템과 네트워크 내 취약점을 찾는 데 활용됩니다.

APT 공격의 동기는 다른 유형의 사이버 공격과 마찬가지로 금전적 이익을 위한 것일 수 있지만, 정치적 첩보 활동에도 활용됩니다. 예상할 수 있듯이, 정부 기관은 가장 보안이 강화된 시스템을 보유하는 경향이 있어 지속적이고 정교한 공격이 필요합니다.

ATA와 APT의 차이점은 무엇인가요?

고급 표적 공격(ATA)은 일반적으로 특정 정교한 공격 집단이 주로 사용하는 방법론입니다. 이러한 집단은 언론에서 "팬시 베어"나 "라자루스"와 같은 별명으로 불리며, 보안계에서는 "고급 지속 위협(Advanced Persistent Threat)" 그룹으로 분류되며 APT1, APT2 등과 같은 숫자 식별자가 부여됩니다.

각 그룹을 구분하는 요소는 전술, 인프라, 코드 재사용 및/또는 일반적인 표적 집합에 따라 달라질 수 있습니다. 예를 들어, 한 APT 그룹은 특정 코드 루틴이나 사회공학적 전술을 재사용하는 반면, 다른 그룹은 특정 취약점이나 제로데이에 의존할 수 있습니다. 기업이 알려진 APT, 범죄 조직, 단독 해커 또는 악의적인 내부자에 의해 공격을 받든, 표적 공격의 특성은 동일하게 유지됩니다.

고급 지속적 위협 사례

모든 APT가 동일한 방법론이나 동기를 따르는 것은 아닙니다. 가장 잘 알려진 그룹들은 대개 정치적 의도를 가지고 활동하지만, 목표를 달성하기 위해 모두 범죄적 방법을 사용합니다.

Stuxnet

APT의 초기이자 역사적으로 가장 주목할 만한 사례 중 하나는 스턱스넷으로, 이란의 핵 프로그램을 표적으로 삼았습니다. 2010년에 발견되었지만, 2005년부터 개발된 것으로 추정됩니다.

발견 당시 스턱스넷은 500킬로바이트 크기의 컴퓨터 웜으로, 이란 내 14개 이상의 산업 시설 소프트웨어를 감염시켰습니다. 이 웜은 마이크로소프트 윈도우 시스템을 표적으로 삼아 자체적으로 확산되었습니다. 그 결과 이란은 핵 원심분리기의 거의 5분의 1을 잃었습니다.

위키드 팬더

최근의 APT 사이버 위협 사례로는 위키드 팬더로, 지난 10년간 가장 활발한 중국 기반 공격자 중 하나입니다. 이들은 중국 국가 이익을 위해 활동하며 수익을 목적으로 한 공격을 수행합니다.

APT 공격의 작동 방식

APT 공격은 침투로 시작됩니다. 해커들은 일반적으로 웹 자산, 네트워크 자원, 피싱 이메일, 승인된 인간 사용자 등을 통해 침투합니다. 일단 내부로 진입하면 해커는 백도어 셸을 설치하여 언제든지 피해자 시스템에 접근할 수 있는 권한을 확보합니다.

다음으로 APT 공격은 영향력을 확대하고 가치 있는 데이터에 접근 권한이 있는 직원들을 노립니다. 충분한 정보를 수집한 후에는 DDoS 공격이나 다른 형태의 혼란을 유발하여 정보 유출을 은폐합니다.

표적 공격은 여러 단계로 구분할 수 있는 뚜렷한 특징을 지닙니다.

1. 정보 수집
2. 침투 경로 및 침투
3. 통신 – 명령 및 통제
4. 측면 이동 & 자산 탐색
5. 정보 유출 – 핵심 자산 탈취

1. 정보 수집

표적 공격의 첫 단계는 피해자에 대한 최대한의 정보를 수집하는 것입니다. 방어자의 관점에서 이는 탐지 기회가 거의 없는 수동적 작전입니다. 이 단계에서 공격자는 대상의 사업, 직원, 운영에 관한 공개 정보를 수집합니다. 이메일 주소와 웹사이트 URL은 공개 출처를 통해 수집 및 정리되며, 이와 같은 다양한 출처가 존재합니다.

공개된 정보는 공격자에게 유용할 수 있습니다. 채용 공고는 조직 내에서 사용되는 특정 하드웨어 및 소프트웨어와 같은 정보를 드러낼 수 있습니다. 물론, 많은 구글 도크가 공격자가 사이트의 취약점과 특정 자원을 검색하는 데 도움을 줄 수 있습니다.

2. 진입점 및 침투

침입자의 주요 과제는 진입하는 것이며, 이는 궁극적으로 대상 네트워크 내에서 코드를 실행할 수 있게 되는 것을 의미합니다. 소프트웨어 또는 하드웨어 취약점, 취약한 인증 정보, 제로데이 및 패치되지 않은 소프트웨어를 악용하는 등의 기술적 옵션이 있지만, 지금까지 가장 일반적인 침입 방법은 일반적으로 스피어 피싱과 같은 사회 공학적 기법입니다. 사용자를 속여 무단 코드를 실행하게 하는 것은 그 자체로 하나의 예술이지만, 특히 조직적 맥락에서는 극복하기에 상대적으로 낮은 장벽에 불과한 도전 과제입니다.

적어도 여기에는 예방과 탐지의 기회가 존재합니다. 사회공학적 기법에 대한 인식을 높이는 교육 과정은 좋은 방안이지만, 교육을 받은 사용자조차 교묘하거나 단순히 끈질긴 피싱 캠페인에 속을 수 있습니다. 조직의 최선의 방어책은 네트워크 내 의심스러운 활동을 감지하고 암호화된 트래픽을 검사할 수 있는 자동화된 행동 기반 소프트웨어입니다.

표적 공격과 관련해 주의해야 할 또 다른 가능성은 내부자 위협입니다. 직원과 계약직 모두 기업에 위험 요소가 됩니다. 공격이 조직 외부에는 널리 알려지지 않은 독점 정보에 의존할 경우 내부자의 개입 가능성이 더욱 높아집니다. 표적 공격은 하드웨어 및 소프트웨어 자산뿐만 아니라 '웻웨어(wetware)' 즉, 직원들을 표적으로 삼아 시작될 수도 있다는 점을 유의하십시오.

3. 통신 – 명령 및 제어

표적 공격에서 해커나 해킹 그룹의 최우선 과제는 자신들과 네트워크에 투하된 악성 코드 간에 실행 가능한 통신 경로를 설정하고 유지하는 것입니다. 즉, 그들은 지속적인 백도어를 구축하려 할 것입니다. 이는 ATA가 명령을 내리고 자산 탐색, 정보 유출, 포렌식 증거 은폐와 같은 공격의 후속 단계를 실행하기 위해 필수적입니다.

공격자 측에는 Empire, Pupy, Metasploit 및 기타 다수와 같이 공개적으로 이용 가능한 풍부한 포스트 익스플로잇 프레임워크가 존재합니다.

해커들은 단순한 HTTP 또는 HTTPS 요청부터 공격자의 서버까지, 고급 분산형 P2P 기술에 이르기까지 다양한 명령 및 제어 채널을 활용할 수 있습니다. 트위터, 페이스북, Google Docs와 같은 소셜 미디어 사이트 모두 악성 C&C 프로토콜에 악용된 사례가 있습니다.

방어 측에서는 다시 한번, 견고한 차세대 AV 보안 솔루션은 일반적인 코드를 인식하고 엔드포인트 방화벽 제어 기능을 제공할 수 있어야 합니다.

4. 측면 이동 및 자산 발견

표적 공격이 엔드포인트를 침해하고 네트워크에 접근권을 획득하면, 거기서 멈추는 경우는 거의 없습니다. 추가 목표는 연결된 다른 시스템에 접근하여 그 민감한 데이터에 도달하는 것입니다. 공격자가 도메인 관리자 접근권을 획득할 수 있다면, 그들은 사실상 왕국의 열쇠를 손에 넣은 것이며, 이는 대개 공격자가 노리는 바로 그 목표입니다.

방어자는 도메인 관리자 권한이 없더라도 네트워크 사용자가 동일한 비밀번호를 재사용하는 경우 공격 코드가 단일 침해 지점을 통해 여러 시스템을 가로질러 이동할 수 있습니다.

이 단계에서 공격자는 디렉터리 열거를 시작하고 파일 목록을 수집하며 가치 있는 데이터를 분류할 가능성이 높습니다. 이 단계에서는 분석을 위해 정보를 공격자에게 전송하기 위해 이전에 구축된 C&C를 활용해야 하므로, 방어자가 네트워크 통신에 대한 완전한 가시성을 확보하고 감시 목록 네트워크 및 파일 활동 기반 경보를 생성할 수 있다면 더욱 효과적입니다. 또한 SentinelOne과 같이 사용하기 쉬운 인터페이스로 모든 엔드포인트에 걸쳐 기본 및 고급 쿼리를 수행할 수 있는 보안 소프트웨어를 보유하는 것도 도움이 됩니다:

5. 정보 유출 – 가장 중요한 정보의 탈취

관심 대상 항목을 식별한 공격자는 어느 시점에서 회사 데이터를 외부로 전송하기 시작합니다. 이는 해커들이 식별하고 관심을 가진 데이터의 종류에 따라 일회성 사건이거나 지속적인 과정일 수 있습니다.

공격자의 관점에서, 그들은 이 활동이 일부 "소음"을 유발하여 관리자에게 자신의 존재를 알릴 수 있으므로, 데이터 유출은 신중하게 수행되어야 하며 조직이 구축한 방어 체계에 대한 철저한 이해가 필요합니다. 이러한 이해는 이전 탐색 단계를 통해 달성됩니다.

정보 유출 기법은 이메일이나 첨부 파일로 일반 텍스트를 전송하는 것처럼 간단할 수도 있으며, URL에 사용자 인증 정보를 포함시키거나 공격자가 통제하는 서버로 은밀하게 업로드하는 등 더 은밀한 방식일 수도 있습니다.

일반적으로 데이터 유출은 인터넷을 통해 이루어지지만, 방어자는 USB나 기타 로컬 드라이브에 복사하여 회사 지적재산권을 유출하려는 내부자의 시도를 인지해야 하므로, 장치 제어 도 이러한 데이터 유출 수단을 탐지하고 차단하기 위해 반드시 구축해야 합니다.

고급 지속적 위협(APT)의 주요 특징

APT 그룹은 시스템이 차단하도록 설계된 다른 해커들과는 다른 기법을 사용합니다. 주의해야 할 몇 가지 고급 지속적 위협의 특징은 다음과 같습니다.

근무 시간 외 이상한 로그인

고급 지속적 위협의 첫 징후는 심야 시간대에 관리자 권한 로그인이 증가하는 현상일 수 있습니다. APT는 높은 접근 권한을 가진 계정을 활용하여 단 몇 시간 만에 전체 환경을 침해할 수 있습니다.

이러한 해커들은 더 많은 권한을 가진 계정을 사용하므로, 각 부서와 협의하여 임원진이 네트워크에 접속하는 시점을 모니터링할 수도 있습니다. 외부 사용자가 정보를 접근하는 시점을 식별하는 것은 쉬울 것입니다.

재방문 위협 행위자

위협 행위자 또한 침투 경로 중 하나가 무력화될 경우를 대비해 백도어 트로이 목마 프로그램을 설치하여 시스템 재접근 경로를 확보합니다.

장기간에 걸쳐 유사한 유형의 공격이 여러 차례 확인된 경우, 이는 APT 사이버 공격일 가능성이 높습니다.

차단된 이메일

APT 위협은 또한 이메일이 다른 컴퓨터에 의해 차단되는 등 예상치 못한 정보 흐름을 유발합니다. 일부 클라우드 이메일 시스템은 메시지 접근 위치를 추적하지만, 모든 시스템이 그렇지는 않습니다.

고위 관리직 직원에게 발송된 스피어 피싱 이메일을 발견할 수도 있으며, 이들은 해커의 접근을 무심코 허용할 수 있습니다.

기타 이상 활동

평소와 다른 점을 발견할 때마다 APT일 수 있습니다. 데이터 사용량의 갑작스러운 증가나 서버 속도 저하 등이 포함될 수 있습니다.&

위협 추적 및 비정상적인 시스템 동작을 모니터링하는 것은 사이버 보안 강화를 위해 필수적입니다. 정상적인 동작의 기준선을 설정하여 이상 현상을 신속하게 식별할 수 있도록 하십시오.

고도화된 지속적 위협(APT)으로 인한 피해 최소화

APT가 조직에 끼치는 피해를 고려할 때 염두에 두어야 할 몇 가지 사항이 있습니다.&

공격자의 목표는 금전, 데이터 또는 둘 다일 수 있으며, 평판 훼손을 의도했을 수도 있고, 다시 말해 위의 모든 요소가 복합적으로 작용했을 수 있습니다. 피해는 즉각적인 것도 있고 장기적인 것도 있습니다.

즉각적인 피해는 금전적 손실, 네트워크 중단 또는 데이터 도난 형태로 발생할 수 있습니다. APT는 일반적으로 은밀성을 중시하지만, 랜섬웨어 분야에서는 특정 조직을 표적으로 삼은 후 랜섬웨어를 사용해 공격하는 방식입니다. 이는 공격자가 자산 탐색 단계에서 가장 가치 있는 대상을 식별하고 복구 옵션 및 모든 '취약점 방지' 기술을 무력화할 수 있기 때문에 기업에 특히 치명적입니다.

장기적인 비용은 평가하기 어려울 수 있지만, 경쟁사에 도움이 되는 지적 재산의 손실이나 투자자 또는 고객의 신뢰 상실과 관련될 수 있습니다.

성공적인 APT의 즉각적이고 장기적인 영향을 제한하기 위해서는 보안 솔루션에 침해 후 대응 전략이 포함되어야 합니다. 최소한 침해에 사용된 취약점을 식별하고 차단할 수 있는 능력과 실행 가능한 데이터를 수집할 수 있는 능력을 의미합니다. 이 데이터는 사건의 경위를 파악하고 책임자를 추적하며 궁극적으로 침해 후 비용을 완화하는 데 도움이 됩니다.

SentinelOne이 제공하는 해결책

APT 사이버 위협에 대처하는 최선의 방법은 적절한 탐지 및 보안 조치입니다. 이 접근 방식에는 네트워크 관리자, 보안 공급자, 그리고 선제적 보안 솔루션이 포함됩니다.

SentinelOne은 실시간으로 위협을 선제적으로 해결합니다. 당사의 AI 기반 모델은 악성코드 및 랜섬웨어 바이너리가 사용자에게 도달하기 전에 식별합니다. 또한 선제적 실시간 탐지 및 대응을 위한 핵심 컨텍스트를 구축하여 시스템이 고도화된 지속적 위협으로부터 보호받을 수 있도록 합니다.&

당사의 위협 인텔리전스 서비스인 WatchTower는 새로운 공격자 기법에 대한 가시성과 대응 능력을 확장합니다. 관련성 높고 시의적절한 인사이트를 실시간으로 받아 공격자들보다 한 발 앞서 나가십시오.

보안 운영 역량 강화

사이버 위협은 날로 진화하고 정교해지고 있습니다. APT 위협과 다른 위협의 차이점은 침투 과정에서 전술을 지속적으로 개선한다는 점입니다. 너무 오래 방치하면 시스템 전체가 침해될 수 있습니다.

해결책은 고급 지속적 위협(APT)을 추적하여 데이터베이스의 보안 수준이 높은 영역에 접근하기 전에 차단하는 것입니다. SentinelOne은 인텔리전스 기반 헌팅, 일상적인 MDR SOC 보강, 그리고 사고 대응을 제공합니다.

문의하기를 통해 당사가 귀사의 시스템을 보호하는 데 어떻게 도움을 드릴 수 있는지 자세히 알아보십시오.

"

지속적 고도 위협 FAQ