지능형 지속 공격
지능형 지속 공격(Advanced Persistent Threat, APT)이란 지능적인 방법을 사용해서 지속적으로 특정 대상을 공격하는 해킹 기법이다.
개요
지능형 지속 공격은 과거의 불특정 다수를 노렸던 공격과는 달리 하나의 대상을 목표로 정한 후에, 내부로 침입을 성공할 대까지 다양한 IT 기술과 공격방식을 기반으로 여러 보안 위협을 생산하여 공격을 멈추지 않는 특징을 가지고 있기 때문에 상당히 위험한 공격이다. 최근 지능형 지속 공격의 방법이 지능적으로 이메일을 이용해 악성코드 등을 심거나 강제로 암호화시켜 데이터를 지우거나 메일 내용을 통해 심리적 허점을 파고드는 형태로 초점이 맞춰져 가는 추세이다.
특징
지능형 지속 공격은 일반적으로 해킹 표적의 관심을 끌 만한 내용의 이메일과 첨부 파일은 끊임없이 보내, 사용자가 호기심에 이를 열어보거나 내려보는 순간 컴퓨터에 악성코드를 감염 시긴다. 해커는 감염된 컴퓨터와 연결된 다른 컴퓨터를 차례로 감염 시켜 전체 컴퓨터망을 해킹한다. 실시간으로 해킹 공격을 시도하는 것이 아닌 미리 악성코드를 숨겨 놓았다가 시간이 지난 뒤 동시에 작동시키는 수법을 사용한다. 지능형 지속 공격이 심은 파일이 해당 컴퓨터를 공격했다고 증상이 바로 나타나지 않고 잠복해있다가 해당 컴퓨터가 중요 정보 및 중요한 역할을 하는 것이 발견될 때, 그때를 노려 중요 정보를 유출하거나 역할을 못 하게 하여 심각한 악영향을 미친다. 감염 컴퓨터에 잠복해 있다가 해당 파일이 옮겨지면서 중요 데이터베이스에 접근까지 기다렸다가 접근했을 때 공격하는 경우도 있다.[1]
- 기존 악성코드 공격과의 차이점
구분 악성코드 APT 공격 분포 무차별 대량 살포 치밀하고 조직화된 계획 목표율 무작위 다수 정부기관, 단체, 기업 공격 빈도 일회성 지속성 공격 기술 악성코드 디자인 제로데이 익스플로잇 드로퍼, 백도어 탐지율 1개월 이내 샘플 발견시 99% 탐지 1개월 이내 샘플이 발견되면 10% 이하
위 내용처럼 기존 악성코드와 지능형 지속 공격은 모든 성격에서 확연한 차이를 보인다. 무차별 불특정 다수를 대상으로 공격하는 기존 악성코드와 달리 치밀하고, 조직적으로 계획하여 주로 정부 기관, 단체, 기업 등을 목표로 공격한다. 가장 핵심적인 부분은 일회성이 아닌, 시스템에 잠복하여 지속해서 공격을 하는 것이고, 탐지 또한 어렵다는 것이다.[2]
공격 사이클
해커들은 오랫동안 지속해서 공격을 가하기 위해서 피해자가 알지 못하도록 침투부터 유출까지 굉장히 조심스럽게 움직인다. 지능형 지속 공격의 사이클은 다음과 같다.
- 정보수집 : APT 공격은 스파이처럼 상대방 컴퓨터에 침투하는 게 특징이다. 스파이처럼 목표물을 면밀히 분석하고, 이메일 등의 사회공학적 기법을 통해 지인이나 회사로 가장해 악성코드가 첨부된 이메일을 보낸다
- 침입 : 지인이나 회사로 가장한 이메일을 받은 직원은 의심 없이 이메일을 열고 첨부파일을 여는 순간 악성코드에 감염된다. 이 부분이 최초 감염되는 시점이고, 내부 시스템으로 침투하는 교두보가 된다.
- C&C 서버 통신 : 해커가 유포한 악성코드에 감염이 됐다면, 해당 PC는 해커의 것이라고 봐도 무방하다. 해커는 시스템에 활동 거점을 마련하기 위해 악성코드가 실행되면 백도어 프로그램이 설치되도록 하고, 이 백도어를 통해 C&C 서버와 통신하여 원격에서 명령을 내릴 수 있도록 한다.
- 확산 : C&C 서버 통신을 이용하여 내부의 다른 컴퓨터를 차례로 감염시킨다. 사내 시스템 접근 권한을 확보하기 위해 비밀번호를 추측하거나 정보들을 수집하여 점점 높은 권한을 획득하며 내부 시스템을 장악해 나간다.
- 데이터 접근 : 중요 데이터에 접근 가능한 관리자급의 권한을 획득하였다면, 실제 중요 데이터가 저장된 시스템에 접근한다.
- 데이터 유출, 파괴 : 중요 데이터까지 접근했다면 내부 보안 프로그램이나 모니터링 등에 걸리지 않게 오랜 기간을 두고 조금씩 데이터를 유출한다.[2]
공격 현황
지능형 지속 공격의 궁극적인 목적은 중요 데이터 탈취 및 파괴에 있다. 오랜 기간 공들이며 공격을 하는 만큼 탈취와 파괴 하려고 하는 대상은 그만큼 중요도가 높은 것들이다. 지능형 지속 공격의 주요 목표가 되는 대상은 정부 기관, 사회 기간 산업시설, 금융기업, 정보통신기업, 제조 기업 등으로 볼 수 있다. 이런 대상들이 공격을 받아 중요 데이터가 탈취된다면 해당 기관이나 기업을 물론이고 사회적으로도 큰 문제가 발생 할 수 있다.
- 정부 기관 : 기밀문서 탈취
- 사회 기간산업시설 : 사이버 테러리즘 활동 및 사회 기간산업 시스템 작동 불능
- 정보통신기업 : 첨단기술 자산 탈취 및 원천기술 관련 기밀 탈취
- 제조기업 : 기업 지적 자신 및 영업 비밀 탈취
- 금융기업 : 사회 금융 시스템 작동 불능 및 기업 금융 자산 정보 탈취
산업별 지능형 지속 공격의 노출률을 살펴보면, 통신 산업과 정부 기관이 상위 1, 2위로 가장 많이 노출된 산업이고 그 뒤를 이어 교육산업, 첨단기술 산업, 금융 서비스업 등이 따라오고 있다. 이를 통해 통신, 첨단기술 산업, 정부 기관 그리고 금융 서비스업이 공격이 주된 목표가 되는 것을 알 수 있다. 그리고 이러한 목표들을 공격하기 위해 공격 파일을 유입시키는 경로는 압도적으로 이메일을 통한 공격이 많은 것을 볼 수 있다.
대안
지능형 지속 공격은 제로데이 취약점 등 고급기법을 이용하여 공격하기 때문에 원천적인 방어가 힘든 공격이다. 원천적인 방어가 힘들다면 공격 사이클에 맞춰 침투 가능성을 최소로 하고, 빠른 탐지와 대응이 최선의 대응 방안일 것이다. 이에 실효성 있는 보안 기술과 솔루선을 연계하는 방안을 살펴봐야 한다. 고도화·다변화되고 있는 최신 위협은 개별 솔루션 위주의 단순 대응만으로는 더 이사 ㅇ효과를 보기가 어렵다. 게다가 기업의 비즈니스 환경 또한 복잡해지고 있어 기업이 속한 산업 군의 특성을 바탕으로 실효성 있는 보안 기술과 소룰션을 연계하는 방안을 찾아야 한다.
- 엔드포인트(End-Point) 보안
- 해커 입장에서 보면 엔드포인트는 내부망 침투를 위한 교두보를 만들어야 할 필수요소라고 할 수 있다. 엔드포인트에서 악성코드를 감염시키는 작업으로부터 공격이 시작되므로 외부 인터페이스 통제부터 백신, 방화벽, 악성코드 방어 솔루션 등을 사용하여 발생 가능성을 최소화하여야 한다.
- 네트워크 보안
- 네트워크 단에서 악성코드를 분석하는 것이다. 내부로 유입되는 파일들을 가상환경에서 실행 시켜 실제 행위를 분석한 뒤 이상 유무를 점검하여 피해를 최소화하는 방법이다. 물리적인 장치를 통해 유입되는 악성코드가 아니라면 네트워크망을 타고 내부로 유입되는 악성코드를 탐지하고 차단하는 데 효과적이다.
- 서버 보안
- 보다 강력한 접근 통제를 위해 2-Factor & 2-Channel 등의 인증을 통해 권한이 있다 해도 또 한 번의 인증을 거쳐야만 접근 및 명령을 할 수 있도록 통제한다. 또 SIEM같은 시스템을 이용하여 정보시스템들의 이벤트, 로그, 감사 정보 등을 모아 장시간 심층 분석을 통해 빠른 탐지 및 대응을 한다.[2]
엔드포인트, 네트워크 보안, 서버 보안과 같이 종합적인 보안 인프라를 구축하여 공격에 대응하는 것도 굉장히 중요하다. 하지만 더 중요한 건 사용자의 보안인식 강화이다. 모든 공격의 시작은 사용자의 부주의한 활동에서부터 시작되는 만큼 주기적인 보안교육 및 공격자가 사용하는 방법을 실제로 이용한 모의 훈련까지 한다면 굉장히 좋은 효과가 있다.
사례
- 농협 전산망 마비 사태
- 농협 전산망 마비 사태는 2011년 4월 12일 농협 전산망에 있는 자료가 대규모로 손상되어 수일에 걸쳐 전체 또는 일부 서비스 이용이 마비된 사건이다. 사건 초기에는 협력 업체에 의한 사고 가능성이 제기되었으나, 이후 농협 측에서는 내부 전문가의 사이버 테러일 가능성이 높다고 발표했다. 그 후 4월 26일에 대한민국 검찰은 조선민주주의인민공화국의 소행이라고 발표했으나 여러 가지 부분에서 의문점이 지적되었다. 농협 측의 사건 처리가 미흡했다는 지적이 있었으며, 농협의 일부 업무는 4월 13일 오후, 모든 업무는 여러 차례 연기 끝에 18일만인 4월 30일에 정상화되었다. 이는 제2 금융권을 대상으로 고객 정보를 훔치겠다는 목적과 지속적인 공격을 감행한 것까지 전형적인 지능형 지속 공격사례이다.[3]
- 넥슨 개인정보 유출 사태
- 2011년 11월 18일 게임 '메이플스토리' 사용자의 개인 정보 1,322만 건이 해킹당한 사건이 고도화된 지능형 지속 공격인 것으로 나타났다. 이번 넥슨의 개인정보 유출은 ‘메이플스토리’ 백업 서버가 해킹당해 최대 1322만 명의 이름과 아이디, 주민등록번호, 비밀번호 등이 유출 당한 것으로 알려졌다. 넥슨의 자체 조사 결과, 메이플스토리 백업 서버 해킹에는 백도어를 생성하는 악성코드 2종이 사용된 것으로 나타났다. 해당 악성코드가 백도어를 생성하고 그 취약점을 공격한 해커가 백업 서버까지 접근하여 개인정보를 유출했다는 분석이다.[4]
- 영국 RBS 은행 월드페이 시스템 침입
- 2008년 영국에서 일어난 대표적인 지능형 지속 공격 사례이며 영국의 RBS 은행의 시스템에 침입하여 신용카드 정보를 유출하여 복제 카드를 만들고 신용카드 한도를 높여 12시간 동안 미국, 러시아, 우크라이나, 에스토니아, 이탈리아, 홍콩, 일본, 캐나다 등 전 세계에 있는 49개의 도시를 대상으로 2,100개의 기기에서 950만 달러를 인출한 사건이다.[1]
- 오퍼레이션 오로라(Operation Aurora)
- 2010년 1월 구글, 어도비, 주니퍼, 야후, 시만텍 등 20여 개 이상의 기업을 대상으로 지능형 지속 공격이 가해졌다. 인터넷 익스플로어의 메모리 참조 오류로 발생하는 제로데이 취약점이었던 MS10-002를 집요하게 이용했다. 형식은 이메일에 악성코드가 포함된 웹 페이지 링크를 전송해 해당 웹페이지를 접속하면 악성코드가 감염되도록 하였다. 이에 각 기업은 자사의 정보가 새어 나간다는 사실조차 전혀 눈치채지 못해 제대로 대응하지 못했다.[5]
- 스턱스넷(Stuxnet)
- 2010년 9월 스턱스넷이라는 악성코드로 인해 이란의 원자력 발전소가 피해를 보았다. 1천여 대의 원심 분리기가 파괴되어 멈추는 바람에 원전과 보안업계 관계자는 물론 전 세계에 충격과 공포를 가져다주었다. 사이버 공격으로도 사회기반 시설이 파괴될 수 있다는 가능성을 보였기 때문이다. 특히 인터넷에 연결되어 있지 않은 폐쇄적인 네트워크 시스템에도 불구하고 비밀리에 침투해 취약점을 공략했다는 점이 특이하다. 보안 전문가들은 12명 이상의 해커들이 300만 달러의 비용을 들여 6개월 이상 작업을 했을 것으로 추정했다. 한두 명의 개인 해커들로서는 실행이 불가능한 규모이고 국가 차원의 조직이 개입한 사이버 테러로 의심되는 사례이다.[5]
각주
- ↑ 1.0 1.1 윰그래, 〈APT(Advanced Persistent Threat) 지능형 지속 공격〉, 《티스토리》, 2017-12-04
- ↑ 2.0 2.1 2.2 〈APT 공격과 대응방안〉, 《이글루시큐리티 블로그》, 2016.08.02
- ↑ 위키백과 - https://ko.wikipedia.org/wiki/%EB%86%8D%ED%98%91_%EC%A0%84%EC%82%B0%EB%A7%9D_%EB%A7%88%EB%B9%84_%EC%82%AC%ED%83%9C#cite_note-%EC%A0%84%EC%9E%90_0430-4
- ↑ 이민형 기자, 〈해킹사태 원인... 넥슨 “APT 공격으로 당했다”〉, 《디지털데일리》, 2011.11.28
- ↑ 5.0 5.1 임동욱 기자, 〈APT, 국내·외 가리지 않고 공격〉, 《더사이언스타임즈》, 2013.03.25
참고자료
- 〈농협 전산망 마비 사태〉, 《위키백과》
- 이민형 기자, 〈해킹사태 원인... 넥슨 “APT 공격으로 당했다”〉, 《디지털데일리》, 2011-11-28
- 임동욱 기자, 〈APT, 국내·외 가리지 않고 공격〉, 《더사이언스타임즈》, 2013-03-25
- 〈APT 공격과 대응방안〉, 《이글루시큐리티 블로그》, 2016-08-02
- 윰그래, 〈APT(Advanced Persistent Threat) 지능형 지속 공격〉, 《티스토리》, 2017-12-04
같이 보기