이번 포스팅 에서는 APT(Advanced Persistent Threat)공격은 무엇인지? 상세하게 다뤄보도록 하겠습니다. APT 공격의 주요 특징은 목표를 달성하기 위해 인간과 자동화된 소프트웨어 상호 작용을 모두 사용한다는 것입니다. 여기에는 피싱, 악성 코드 또는 기타 사회 공학적 방법이 포함될 수 있습니다. 모바일 장치의 사용이 증가함에 따라 APT에 모바일 장치에 대한 공격이 포함되는 것은 드문 일이 아닙니다.
미디어를 통해 종종 나오는 기사를 보면 APT는 보통 국가 차원의 공격과 관련이 있지만 범죄 조직과 개인도 이 공격 방법을 많이 사용합니다. APT라는 용어는 때때로 이러한 전술을 사용하고 반드시 국가 차원의 공격일 필요가 없는 악성 코드를 총칭합니다.
APT 공격이란?
APT(Advanced Persistent Threat) 공격 피해 결과는 엄청난 손실을 발생시킬수 있습니다. 대표적으로 정보유출이나 시스템의 손상, 사이트 장악등 다양한 피해 사례를 볼수 있습니다.
APT는 설정하는 데 오랜 시간이 걸리고 꽤 오랜 시간, 심지어 몇 년 동안 지속되는 다단계 공격입니다. APT는 네 가지 기본 방식에서 기본 사이버 공격과 동일하지 않습니다.
- APT는 일반적인 온라인 위험보다 더 복잡합니다. 폭행을 위해서는 목표 조직에 비밀스러운 존재를 유지하기 위해 풀타임 그룹이 필요합니다.
- APT는 빠르게 들어오고 나가는 공격이 아닙니다. 프로그래머가 조직에 접근할 때 가능한 한 내부에 머물게 될 것입니다.
- APT는 일반적으로 로봇화에 의존하지 않는 수동 공격입니다.
- APT는 대규모 표적 풀에 위험하지 않습니다. 폭행은 특정 조직을 추적하므로 각 공격에는 목표의 보호 장치에 딱 맞는 맞춤 배열이 있습니다.
APT 공격에는 많은 노력과 자산이 필요합니다. 프로그래머는 일반적으로 벤처나 기업과 같은 높은 평가를 받는 목표를 따릅니다. 그럼에도 불구하고, APT 공격자는 대규모 협회의 인벤토리 네트워크에 있는 소규모 회사를 표적으로 삼는 경우가 많습니다.
APT 공격의 목적은 정보 탈취 외에도 APT의 목표에는 기반 파괴, 단일 프레임워크 제거, 사이트 장악 마무리 등이 포함될 수 있습니다. 각 공격에는 새로운 이유가 있지만 목표는 일관되게 정보 침투, 감시 및 손상이 혼합된 것입니다.
APT 공격 특징
공격은 숨기기 위해 다양한 기술을 사용하며 조직 내 특정 개인을 표적으로 삼는 경우가 많습니다. 대부분의 경우 지능형 지속 위협에는 다양한 유형의 사이버 범죄와 구별되는 다양한 특수 “활동”이 포함됩니다. 대부분의 경우 이러한 활동은 상당히 오랜 시간, 몇 달 또는 심지어 오랜 시간 동안 객관적인 조직 내에서 존재감을 유지하는 데 중점을 두고 심오하게 결정됩니다.
APT 공격은 탐지되지 않기 위해 다양한 기술을 사용합니다. 대부분의 경우 바이러스 백신 프로그래밍, 스팸 채널 및 기타 일반 보안 장비를 통해 탐지 되지만 APT 공격은 이와 같은 보안 어플리케이션이나 솔루션으로 탐지하기가 매우 힘듭니다. 또한, 대상 서비스나 대상 컴퓨터에 이상 징후나 영향을 미치지 않아 더욱 위협 탐지가 어렵습니다.
APT 공격 과정 및 기술
스피어피싱이 대표적인 데요. 악성 링크나 첨부 파일을 클릭하도록 속이기 위해 합법적인 소스를 가장하는 이메일을 사용하는 것입니다. APT는 일반적으로 스피어피싱 메시지로 공격을 시작하므로 이러한 메시지가 증가하면 신호일 수 있습니다. 스피어피싱 메시지가 협회의 프레임워크에 대한 허용 수준을 부인할 수 없는 수준의 근로자를 대상으로 하는 경우 이는 훨씬 더 근거 있는 지침이 될 수 있습니다.
워터링홀 공격은 공격자는 피해자가 방문하는 것으로 알려진 웹사이트를 감염시킨다. 이러한 공격은 불량배, APT 모임, 국가에서도 마찬가지로 받아들여졌으며 그 규모도 증가하고 있습니다. 목표는 사상자의 PC를 오염시키고 사상자의 작업 환경 내부 조직에 접근하는 것입니다.
권한상승 공격의 경우 공격자는 취약한 보안 제어를 이용하여 조직 내에서 자신의 권한을 확대합니다. 권한 상승은 해커가 보안 에지 내부의 프레임워크에 대한 승인되지 않은 접근권을 획득하는 일반적인 경로입니다. 해커는 협회의 보호 장치에서 취약한 부분을 발견하고 프레임워크에 액세스하는 것부터 시작합니다. 대체로 첫 번째 침입 표시는 해커가 필요한 액세스 수준이나 정보를 얻는 것을 허용하지 않습니다. 그 시점에서 그들은 권한을 획득하거나 더 섬세한 프레임워크에 대한 승인을 얻기 위해 이점 가속화를 시도할 것입니다.
자격증명 수집 목적으로 종종 피싱을 통해 자격 증명을 도용하는 것입니다. 자격 증명 수집은 일반적으로 피싱과 유사한 것으로 간주되지만 다양한 전략을 활용합니다.
과거에 디지털 공격자들은 민감한 정보에 접근하는 가장 쉬운 방법은 최종 고객의 성격과 자격을 절충하는 것임을 알아냈습니다. 인적 요소를 고려하고 디지털 보호 체인에서 가장 취약한 연결을 공격하는 자격 증명 수집은 대부분의 디지털 공격의 기반이 되었습니다. 자격 증명 수집은 일반적으로 공격자가 활용하지만, 수집된 데이터를 관리하는 방법은 엄청나게 바뀔 수 있습니다. 때때로 인증은 프레임워크나 조직 자산에 액세스하는 것이 목적인 공격에 활용되거나, 재정 균형을 제어하거나 단순히 다크넷에서 데이터를 판매함으로써 조정될 수 있습니다. 비즈니스 소유자와 고객은 자격 증명 수집이 다양한 방식으로 이루어집니다.
APT 공격 사전 예방
이와같이 매우 무서운 APT 공격을 사전에 미리 방지하기 위해서는 다양한 관점에서의 보안이 필요한데요. 예를들어 서비스 측면에서는 OWASP TOP10 취약점과 같은 보안홀에 대해 사전 취약점 점검을 진행하여 보안 홀이 있다면 조치해야하며, 방화벽이나 IPS, WAF등 보안 장비를 통해서 집중적인 트래픽 모니터링을 통해 위협을 식별해야합니다.
또한, OS 측면이나 어플리케이션에 대한 보안 패치나 업그레이드를 통해 CVE 취약점을 사전에 제거하는 방법도 좋은 방법이 될수 있으며, 중요 서비스에 대한 크리덴셜 보안을 강화하는것도 APT 공격을 사전에 예방하는 방법이 될수 있습니다. 즉, 기본적인 측면에서의 모든 보안 수준을 유지하고 준수하고 있다면 공격에 대한 리스크를 조금이라도 줄일수 있다는 것을 의미합니다.
가장 중요한점은 위에서 언급한 솔루션이나 장비들의 탐지 기술을 통해 사전 예방에 대한 도움을 얻을수도 있지만, 운영한고 관리하는 관리자 즉, 사람의 보안의식이 가장 중요합니다. AI나 머신러닝등의 기술이 보안 업계에도 지속적으로 도입되어 발전하고 있어 도움이 될수는 있지만 결국 사람의 판단이 어느정도는 개입되야 차단이든 정탐 오탐을 구분할수가 있는것입니다. 즉, 운영자나 관리자의 보안 의식이 APT 공격을 사전에 예방하거나 방지할수 있는 최선책이라는 것임을 잊지 말아야 할것입니다.