2024-03-29 23:15 (금)
[APT공격-2] 단계별 공격 어떻게 진행되나
상태바
[APT공격-2] 단계별 공격 어떻게 진행되나
  • 길민권
  • 승인 2011.09.21 02:01
이 기사를 공유합니다

APT 공격은 침투, 검색, 수집 및 유출의 4단계로 실행
일반적으로 APT 공격은 침투, 검색, 수집 및 유출의 4단계로 실행되며, 각 단계별로 다양한 공격 기술을 사용한다.

 
◇1단계: 침투(Incursion)=일반적으로 표적 공격시 해커들은 훔친 인증정보, SQL 인젝션, 표적 공격용 악성코드 등을 사용하여 목표로 삼은 기업이나 조직의 네트워크에 침투한다. APT도 이러한 공격 방법들을 사용하지만 오랜 시간에 걸쳐 공격 대상 시스템에 활동 거처를 구축하는데 초점을 맞춘다.
 
-관찰(Reconnaissance): APT 공격자들은 표적으로 삼은 시스템, 프로세스 및 파트너와 협력업체를 포함한 사람들을 파악하기 위해 수개월에 걸쳐 공격 목표를 철저히 연구하고 분석한다. 이란 핵 시설을 공격했던 스턱스넷의 경우, 공격 팀은 목표로 삼은 우라늄 농축시설에 사용되는 PLC(Prorammable Logic  Controllers)에 대한 전문 지식을 보유하고 있었다.
 
-사회 공학(Social engineering): 목표 시스템으로의 침투를 위해 공격자들은 내부 임직원이 실수나 부주의로 링크를 클릭하거나 첨부파일을 열게끔 사회 공학적 기법을 접목하기도 한다. 전형적인 피싱 공격과 달리 이러한 공격은 공격 목표에 대한 철저한 관찰을 통해 진행된다. 가령 공격자가 A라는 기업의 시스템 관리자를 노린다면 공격자는 사전에 이 관리자의 개인 블로그, 트위터, 페이스북 등을 검색해 생년월일, 가족 및 친구관계, 개인 및 회사 이메일 주소, 관심 분야, 진행중인 프로젝트 등의 정보를 수집한 후 이를 이용해 피싱 메일을 보내는 식이다. 
 
-제로데이 취약점(Zero-day vulnerabilities): 제로데이 취약점은 개발자들이 패치 등을 제공하기 전에 소프트웨어 개발자들 모르게 공격자들이 악용할 수 있는 보안상 허점으로 보안 업데이트가 발표되기 전까지는 무방비 상태와 같다. 반대로 제로데이 취약점을 발견 하기 위해서는 상당한 시간과 노력이 걸리는 만큼 가장 정교한 공격 기관만이 이를 활용할 수 있다. APT는 공격 목표에게 접근하기 위해 하나 이상의 제로데이 취약점을 이용한다. 스턱스넷의 경우 동시에 4개의 제로데이 취약점을 이용한 것으로 나타났다.
 
-수동 공격(Manual operations): 일반적으로 대규모 보안 공격은 효과를 극대화 하기 위해 자동화를 선택한다. 일례로 ‘스프레이&프레이(Spray and pray)’로 불리는 피싱 사기는 자동 스팸 기술을 사용하여 수천 명의 사용자들 중 일정 비율이 링크나 첨부파일을 클릭하도록 한다. 반면, APT는 자동화 대신 각각의 개별 시스템과 사람을 표적으로 삼아 고도의 정교한 공격을 감행한다.
 
◇2단계: 검색(Discovery)=한번 시스템의 내부로 침입한 공격자는 기관 시스템에 대한 정보를 수집하고 기밀 데이터를 자동으로 검색한다. 침투로 인해 보호되지 않은 데이터나 네트워크, 소프트웨어나 하드웨어, 또는 노출된 기밀 문서, 추가 리소스 등의 경로가 탐색될 수 있다. 대부분의 표적 공격은 기회를 노려 공격을 하지만, APT 공격은 보다 체계적이고 탐지를 회피하기 위해 엄청난 노력을 기울인다.
 
-다중 벡터(Multiple vectors): APT 공격시 일단 악성코드가 호스트 시스템에 구축되면 소프트웨어, 하드웨어 및 네트워크의 취약점을 탐색하기 위해 추가적인 공격 툴들이 다운로드 될 수 있다.
 
-은밀한 활동(Run silent, run deep): APT의 목표는 표적의 내부에 잠복하면서 장시간 정보를 확보 하는 것이므로, 모든 검색 프로세스는 보안탐지를 회피하도록 설계된다.
 
-연구 및 분석(Research and analysis): 정보 검색은 네트워크 구성, 사용자 아이디 및 비밀번호 등을 포함하여 확보된 시스템과 데이터에 대한 연구 및 분석을 수반한다.
 
APT 공격을 탐지하면 가장 먼저 해당 공격이 얼마나 지속되었나를 살펴봐야 한다. 전형적인 표적 공격으로 계좌 번호가 유출되었다면 데이터가 유출된 날짜나 피해 정도를 평가하기는 그리 어렵지 않다. 하지만, APT 공격을 당했다면 언제 공격을 받았는지 가늠하기가 거의 불가능하다. 침투 및 검색 활동이 매우 은밀히 진행되기 때문에 피해자는 로그 파일을 점검 하거나 심지어는 관련 시스템을 폐기해야 할 수도 있다.
 
◇3단계: 수집(Capture)=수집 단계에서 보호되지 않은 시스템에 저장된 데이터는 즉시 공격자에게 노출된다. 또한, 조직 내의 데이터와 명령어를 수집하기 위해 표적 시스템이나 네트워크 액세스 포인트에 루트킷이 은밀하게 설치될 수 있다.
 
-장시간 활동(Long-term occupancy): APT는 오랜 기간 지속적으로 정보를 수집하도록 설계되었다. 예를 들어, 2009년 3월 발견된 고스트넷(GhostNet)으로 알려진 대규모 사이버 스파이 사건은 103개 나라의 대사관, 외국 부처 및 기타 정부 기관을 포함해 인도, 런던 그리고 뉴욕의 달라이 라마의 티벳 망명 센터 컴퓨터 시스템에 침투하였다.
 
‘인포메이션 워페어 모니터(Information Warfare Monitor)’ 보고서에 따르면, 고스트넷은 2007년 5월 22일에 데이터를 수집하기 시작해 2009년 3월 12까지 지속된 것으로 나타났다. 평균적으로 감염된 호스트가 활동한 시간은 145일이었고, 가장 긴 감염 시간은 660일이었다.
 
◇4단계: 제어(Control)=APT 공격의 마지막 단계로, 불법 침입자들은 표적 시스템의 제어권을 장악한다. 이 단계를 통해 공격자들은 지적 재산권을 포함해 각종 기밀 데이터를 유출하며, 소프트웨어 및 하드웨어 시스템에 손상을 입힌다.
 
-유출(Exfiltration): 기밀 데이터가 웹 메일 혹은 암호화된 패킷이나 압축파일 형태로 공격자에게 전송된다.
 
-지속적인 분석(Ongoing analysis): 도난된 신용카드 번호가 금전적 이득을 위해 재빨리 이용되는 반면, APT 에 의해 수집된 정보는 전략적 기회를 포착하기 위한 연구에 이용되곤 한다. 이러한 데이터는 이 분야의 전문가들에게 하나의 지침서가 되어 영업 비밀을 캐내거나 경쟁사의 행동을 예측하여 대응 방안을 수립하는데 도움이 될 수 있다.
 
-중단(Disruption): 공격자는 원격 시동이나 소프트웨어 및 하드웨어 시스템의 자동 종료를 야기할 수도 있다. 많은 물리적 장치가 내장형 마이크로 프로세서에 의해 제어되고 있는 만큼 시스템이 교란될 가능성이 커진다. 명령 및 제어 서버는 은밀하게 표적 시스템을 제어하고 심지어 물리적 피해를 야기할 수도 있다. [데일리시큐=길민권 기자]
■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★