APT 공격기법은 지능형 지속위협의 특징을 가지며 공격 대상이나 시스템에 대해 지속해서 정보를 수집하고 취약점을 발견하여 공격합니다. 마치 은행 금고를 털기 위해 은행직원, 시스템, 업무시간 등의 취약점을 찾아 은밀히 공격한 후 현금을 가지고 유유히 사라지는 방식에 비유할 수 있습니다. 이 문서에서는 APT 공격기법의 시나리오와 특징 그리고 방어하기 위한 솔루션에 대해 정리해 보겠습니다.
APT 공격기법 특징
일반적으로 디도스 공격이나 랜섬웨어와 같은 공격은 침투 대상을 무작위로 고르거나 대규모로 공격형태인데 반해, APT 공격은 지능적이고 지속적이며 은밀하다는 특징이 있습니다.
APT 공격 시나리오
APT 공격은 일반적으로 침투, 검색, 수집, 유출의 단계로 나누어 조직적으로 진행됩니다. 이를 실제 공격 시나리오를 예로 들어 설명하겠습니다.
1. 정보수집 단계
기업의 조직 내 인사 정보를 탈취한다고 가정해보겠습니다. 이를 위해 우선 회사 전산관리 담당자나 인사담당자에게 접근해야 합니다. 가령, 회사의 홈페이지에 웹 마스터나 개인정보담당자의 이메일 연락처를 알 수 있습니다.
만약 채용사이트에 채용공고가 있다면 거기에는 인사담당자의 이메일 연락처가 있을 것입니다. 인사담당자에게 다음과 같이 이메일을 보내어 첨부파일을 클릭하도록 합니다.
- [지원서] 채용공고를 보고 지원합니다. (이력서 첨부)
2. 침입단계
위와 같이 회사의 주요 담당자에게 이메일을 보내서 첨부파일을 클릭하도록 유도했다면, 개인 PC에 악성코드를 심어서 외부에서 접근할 수 있는 백도어를 설치할 수 있습니다. 백도어는 멀웨어나 웜, 트로이 목마와 같은 악성코드로 간단히 설치할 수 있습니다.
3. C&C 서버 통신
사내의 서버에 설치된 악성코드는 소량의 트래픽을 이용해 교묘하게 C&C 서버와 통신 합니다. 이 악성코드는 지속해서 주소나 포트를 변경하거나 Proxy 서버를 활용하는 등 탐지가 어렵도록 은밀하게 활동합니다.
APT 보안 솔루션은 사내 서버와 C&C 서버 간의 통신을 일반 패킷과의 상관관계를 분석하여 탐지할 수 있습니다. 탐지를 위해 정상 연결과 비교하여 TCP 플래그 및 포트의 분포를 분석해 특이패턴을 가려내는 방식으로 가능합니다. 다음의 APT 보안 솔루션이 이와 같은 방식을 이용합니다.
> 악성코드 감염 PC의 C&C 통신차단 및 이상 트래픽 감지 APT 솔루션
4. 확산 및 데이터 유출
백도어를 통해 사내망 접속권한을 얻으면 점차 사내 시스템의 접근권한을 넓혀가면서 확산을 시도합니다. 그렇게 사내 기밀 정보들을 외부로 조금씩 유출합니다. APT 공격의 특성상 확산 및 유출은 몇 달 간 장기간에 걸쳐서 수행됩니다. 따라서 피해의 확인이 어려우며 전문 솔루션이 없으면 탐지하기도 힘든 특징이 있습니다.
APT 보안솔루션
APT 공격을 차단하려면 앞서 살펴본 바와 같이 일반적인 안티바이러스나 방화벽과 같은 보안 솔루션으로는 한계가 있습니다. 또한 공격 패턴이 지속적으로 바뀌기 때문에 패턴 기반으로는 분석이 어려우며 행위 기반 탐지가 가능한 시스템을 구축하는 것이 좋습니다.
1. 샌드박스 기반 솔루션
샌드박스는 아이들이 놀이터에서 마음대로 모래놀이를 할 수 있는 공간을 말합니다. 이처럼 악성코드들이 자유롭게 활동하도록 샌드박스를 마련하고, 제로데이 Attack과 같은 알려지지 않은 공격에 대해 사전에 분석 및 차단할 수 있도록 도와주는 환경을 구축합니다. 이 방식을 이용한 대표적인 APT 공격 보안 솔루션으로는 클라우드 기반의 FortiSandbox가 있습니다.
2. 안랩 지능형 위협대응 솔루션
AhnLab APT 솔루션의 경우 알려지지 않는 위협의 행위기반 이상현상을 탐지하며 C&C 통신탐지 및 차단기능 등이 구현된 보안 Solution입니다. 국내 최초로 지능형 위협 대응 인증인 ISCA 를 취득하였습니다.
마치며
여러 악의적인 공격에 대비하기 위해 다양한 솔루션을 마련하는 것도 중요하지만 개인적인 몇 가지 주의사항으로도 많은 위협을 사전에 줄일 수 있습니다. 시스템 보호를 위해 도움이 될만한 사항을 정리해보겠습니다.
- 확인되지 않은 발신자의 메일을 주의하고 첨부파일을 열기 전 꼭 백신 검사를 수행한다.
- 허가된 소프트웨어만을 설치하여 악성코드 감염을 막는다.
- 주기적으로 비밀번호를 변경하고 보안 Patch는 즉시 적용하도록 한다.
만약 악성코드나 랜섬웨어 등의 감염이 의심되거나, 보안을 위해 추가로 필요한 내용이 있다면 다음의 이전 글을 참고 바랍니다.