고급 지속적 위협(APT)을 방지하는 방법?"

고급 지속적 위협(APT) 공격은 공격자가 네트워크에 무단 접근한 후 장기간 탐지되지 않은 채 침투를 지속하는 사이버 공격 유형입니다. APT 공격의 목표는 가치 있는 데이터를 훔치고, 위협 정찰을 수행하며, 시간이 지남에 따라 조직의 비즈니스 연속성을 방해하는 것입니다. APT 공격은 정교하게 설계되어 실행하는 데 매우 오랜 시간이 걸립니다.

이 공격은 숙련된 해커 그룹, 국가 차원의 행위자 및 조직화된 범죄 조직에 의해 실행됩니다. 이들 집단은 강력한 발판을 마련한 후 네트워크의 여러 부분으로 측면 이동하며 정보를 수집하는 것으로 알려져 있습니다. APT 공격은 잘 숨겨져 있고, 공격자가 시간이 지남에 따라 전술을 적응 및 진화시켜 조직의 강화된 방어 체계를 성공적으로 우회할 수 있기 때문에 방어하기 어렵습니다.

고급 지속적 위협(APT)이란 무엇인가요?

고급 지속적 위협(Advanced Persistent Threat, APT) 공격은 은밀한 사이버 공격으로, 공격자가 조직에 대한 충분한 정보를 수집할 때까지 숨겨진 상태로 유지됩니다. 적대자가 귀사의 인프라를 조사하는 데 소요되는 시간은 놀라울 정도로 길며, 귀사는 이를 전혀 눈치채지 못할 것입니다. APT 공격이 성공한 것은 그 공격이 다가오는 것을 전혀 눈치채지 못했을 때입니다.

APT 공격은 지속적이라는 점에서 위험합니다. 즉, 공격자는 표적을 계속 주시하며 가능한 모든 방법으로 침해하려 시도합니다. 공격자는 또한 다양한 공격 경로를 탐색하며 대상이 더 취약해질 수 있는지 확인합니다. 이것이 바로 고급 지속적 위협 공격이 일반적인 사이버 공격과 다른 점입니다.

APT는 어떻게 작동하나요?

APT 공격은 계층적일 수 있으며, 이는 다른 유형의 사이버 공격과 비교할 때 매우 독특한 특징입니다. 공격자는 표적에 대한 정보를 수집하기 위해 전술을 맞춤화합니다. 그들은 계획에 많은 시간과 세심한 주의를 기울입니다. 다른 사이버 공격에서는 공격자가 일반적인 악성 코드를 심어 널리 배포함으로써 가능한 한 많은 시스템을 감염시키려 할 수 있습니다. 그러나 APT 공격은 여러 계층과 단계로 나뉠 수 있습니다.

공격자는 네트워크에 침투하고 내부에서 측면 이동하기 위해 다양한 기법을 사용할 수 있습니다. 공격자는 사회공학 및 피싱 이메일을 혼합하여 사용자를 속여 민감한 정보를 유출하도록 유도할 수 있습니다. 그들은 소프트웨어 또는 하드웨어 취약점을 악용하여 네트워크에 진입할 수도 있습니다.

APT 공격은 적응력이 뛰어나고 지속적으로 변화하며 예상치 못한 다양한 각도로 접근할 수 있기 때문에 방어하기 어렵습니다. 예측 가능한 패턴이 없기 때문에 조직은 강력하고 다재다능한 사이버 보안 전략을 구현해야 합니다. 이것이 진보된 지속적 위협 공격을 예방하고 스스로를 방어하는 방법을 숙달할 수 있는 유일한 방법입니다.

진보된 지속적 위협을 탐지하는 방법?

경고 신호를 인지함으로써 진보된 지속적 위협 공격을 탐지하고 예방하는 방법을 배울 수 있습니다. 주목해야 할 사항은 다음과 같습니다:

• 트래픽 양의 급격한 증가나 내부 장치에서 외부 및 다른 네트워크로의 비정상적인 데이터 흐름은 통신이 침해되고 있다는 신호일 수 있습니다. 업무 시간 외에 업무 계정에 접근이 이루어지고 의심스러운 로그인이 발견된다면, 그 답은 이미 알고 계실 것입니다.
• APT 공격은 배경에서 은밀히 작동하며 지속적으로 중요한 정보를 수집할 수 있습니다.
• 백도어를 생성하는 악성코드 감염이 반복적으로 발생하는 것도 또 다른 징후입니다. 이는 APT 공격자가 향후 악용할 기회를 제공합니다. 멀웨어를 전파하는 백도어를 찾으십시오. 특히 계속해서 재발하며 네트워크에 침투하는 백도어를 주의하십시오.
• 데이터가 존재해서는 안 되는 위치에 갑자기 기가바이트 단위의 데이터 묶음이 나타나는 것은 APT 공격이 임박했음을 분명히 나타내는 지표입니다. 조직에서 일반적으로 사용하지 않는 압축 파일 형식으로 데이터가 압축되어 있다면, 즉시 조사에 착수해야 합니다.
• 조직 내 특정 직원들이 이상한 이메일을 받고 있다면, 그들이 표적이 되고 있을 가능성이 있습니다. 스피어 피싱 이메일은 APT 공격자들이 흔히 사용하는 수단이며, APT 공격 킬 체인의 가장 중요한 요소 중 하나인 초기 침입 단계를 형성합니다.
• 공격자들은 또한 상당한 시간을 들여 귀사의 엔드포인트를 조사하고 분석할 것입니다. 보안 정책의 취약점을 찾아내어 시스템이 규정 준수 상태를 벗어나도록 하는 등 결함 및 약점을 악용하려 할 수도 있습니다.

APT 공격 예방 및 완화를 위한 모범 사례

고급 지속적 위협 공격을 막는 방법을 배우기 위한 첫 번째 단계는 공격이 목표로 삼는 데이터의 범주와 그 분류 방법을 이해하는 것입니다. APT 공격은 귀사의 지적 재산에 대한 정보를 은밀히 훔치고, 금융 범죄 및 절도를 유발하며, 귀사를 파괴하는 것을 목표로 합니다.

해커 활동가들은 또한 귀사의 비즈니스를 폭로하고 정보를 유출하는 것을 목표로 합니다. 고급 지속적 위협 공격은 침투, 확대 및 측면 이동, 정보 유출의 세 단계로 진행됩니다. 정보 유출은 마지막 단계로, 공격자가 발각되지 않은 상태에서 문서와 데이터에서 정보를 추출하는 과정입니다. 공격자는 병목 현상과 주의 분산 전술을 활용해 피해자를 오도하며 많은 백색 소음을 발생시킬 수 있습니다. DNS 터널링은 반드시 탐지해야 하며, 이로 인해 위치 파악이 어려워집니다.

APT 공격을 예방하고 완화하기 위한 모범 사례는 다음과 같습니다:

• 네트워크 매개변수를 모니터링하고 최고의 엔드포인트 보안 솔루션을 사용하세요. 백도어 생성 방지와 도난 데이터 추출 시도를 차단하기 위해 인그레스 및 이그레스 트래픽을 분석해야 합니다.
• 최신 웹 애플리케이션 방화벽을 설치하고 시스템을 패치하며 최신 상태로 유지하세요. 이를 통해 취약한 공격 표면을 보호하고 노출 범위를 최소화할 수 있습니다.
• 이러한 위협에 대응할 때 방화벽은 애플리케이션 계층 공격을 격리하고 RFI 및 SQL 인젝션 시도를 차단할 수 있습니다. 내부 트래픽 모니터링 도구는 비정상적인 트래픽 행동을 탐지하는 데 도움이 되는 세분화된 시각을 제공합니다.
• 시스템 접근을 모니터링하고 민감한 파일 공유를 방지할 수 있습니다. 백도어 셸을 제거하고 공격자의 원격 요청이 통과하는 것을 차단하여 인프라의 취약점을 탐지하세요.
• 허용 목록(Allowlisting)을 통해 도메인을 관리하고 사용자가 설치할 수 있는 애플리케이션을 화이트리스트에 등록할 수 있습니다. 앱 설치 및 공격 표면을 제한하여 APT 공격의 성공률을 낮출 수 있습니다. 그러나 신뢰도가 매우 높은 도메인조차도 침해될 수 있으므로 이 방법이 항상 효과적인 것은 아닙니다.
• 공격자는 악성 파일을 합법적인 소프트웨어로 위장할 수 있습니다. 허용 목록이 효과적으로 작동하려면 엄격한 업데이트 정책을 시행하여 사용자가 허용 목록에 있는 모든 앱의 최신 버전을 사용하도록 해야 합니다.

APT 공격의 실제 사례

다음은 APT 공격의 실제 사례입니다.

• 실제 세계에서 APT 공격의 전형적인 사례는 RAM 스크레이퍼 공격에 의한 타겟 데이터 유출 사건입니다. 이 사건은 10년 전에 발생했지만 역사상 가장 성공적인 APT 공격 중 하나로 기록되었습니다. 공격자는 취약한 공급업체를 악용하여 대상 생태계에 무단 접근했습니다. 그들은 대상의 POS 기기에 침투하여 약 3주간 네트워크에 머물며 약 400억 장의 신용카드 정보를 탈취했습니다. 공격자들은 이 방대한 양의 데이터를 조용히 빼내갔으며, 단 한 번의 전송으로 이를 완료했다.
• 카스퍼스카이는 라자루스(Lazarus)의 하위 그룹이 발동한 새로운 APT 공격을 발견했다. 공격자들은 DTrack이라는 잘 알려진 악성코드를 변형하고 완전히 새로운 Maui 랜섬웨어를 사용했다. 표적은 전 세계의 유명 기관들이었다. 이 그룹은 공격 범위를 확대하여 랜섬웨어 변종으로 공공기관 및 의료기관을 공격했습니다. 해당 악성코드는 임베디드 셸 코드로 배포 및 실행되었으며, 최종 Windows 인메모리 페이로드를 로드했습니다. DTrack은 일련의 Windows 명령어를 통해 시스템 데이터와 브라우저 기록을 수집했습니다. 표적 네트워크 내 체류 시간은 활동 및 탐지 전까지 수개월간 지속되었습니다.
• 럭키마우스(LuckyMouse) 그룹은 미미(Mimi) 메시징 서비스의 트로이 목마 변종을 이용해 조직에 백도어 접근권을 획득했습니다. 이들은 macOS, Windows, Linux 기기를 표적으로 삼았으며, 대만과 필리핀 전역에서 최소 13개 기업을 장악했습니다.
• 러시아의 지원을 받는 SEABORGIUM이라는 이름의 그룹도 5년간 유럽에서 스파이 활동을 수행했습니다. 일련의 피싱 이메일을 이용해 OneDrive 및 LinkedIn 계정에 침투했습니다.

결론

강력한 접근 제어는 APT(지속적 고급 위협)에 대한 첫 번째 방어 수단이 될 것입니다. 또한 엔드포인트 탐지 및 대응(EDR) 및 확장 탐지 및 대응(XDR) 솔루션을 활용하여 APT 위협에 대응하고 인프라에 대한 실시간 가시성을 확보해야 합니다. 침투 테스트와 트래픽 모니터링이 핵심입니다. 조직의 APT 공격 탐지, 대응 및 방어 능력을 향상시킴으로써 향후 공격 가능성을 줄일 수 있습니다. 보안을 종합적으로 바라보고 적절한 사이버 위생 관행을 확립하여 공격자가 사용자의 경솔함을 악용하거나 잠재적 시스템 결함 및 취약점을 이용하지 못하도록 해야 합니다. 이는 스스로 조기에 발견함으로써 가능합니다.

"

FAQs