APT공격의 정의와 특징 및 사례, 대응방책

APT(Advanced Persistent Threat) 정의 

 다양한 IT 기술과 방식들을 이용해 조직적으로 경제적이거나 정치적인 목적을 위해 다양한 보안 위협들을 생산해 지속적으로 특정 대상에 가하는 일련의 공격 행위를 말한다. 즉, APT 란 특정 기업이나 조직 네트워크에 침투해 활동 거점을 마련한 뒤  정보를 외부로 빼돌리는 형태의 공격들을 총칭하는 말이다.

 

APT의 특징

 특정 기업이나 조직을 노리는 표적 공격은 "드라이브-바이 다운로드( Drive-by download) SQL 인젠션, 악성코드, 스파이웨어, 피싱이나 스팸 등 다양한 공격 기술을 사용한다. APT공격도 이 같은 기술들을 사용하지만 성공률을 높이고 첨단 보안 탐지 기법을 회피하기 위해 Zero-Day 취약점, 루트킷과 같은 고도의 공격 기술을 복합적으로 이용하기 때문에 지능적이고 위협적이며, 당한 기업들도 보안사고가 터지기 전까지는 APT공격에  당했다는 사실 조차 모르는 경우가 대부분이다.

 

① 지능적 (Advanced)

 일반적인 공격과 더블어 APT는 Zero-Day 취약점, 루트킷과 같은 고도의 지능적인 보안 위협을 동시에 이용하여 목표에 침투하여 은밀히 정보를 빼돌리는 킬 체인(Kill Chain)을 생성한다.

 

② 지속적 (Persistent)

 APT 공격은 보안 탐지를 회피하기 위하여 은밀하고, 천천히 움직여야 하기 때문에 일반적인 공격에 비해 몇 배나 되는 엄청난

긴 시간 동안 공격이 행해진다. 다수의 표적 공격이 순신간에 목표를 공격해 필요한 정보를 탈취해 간다면, APT는 목표 시스템에 활동 거점을 마련한 후 은밀히 활동, 새로운 기술과 방식이 적용된 보안 공격들을 지속적으로 공격해 정보 유출이나 삭제, 시스템에 대한 물리적인 피해 등 공격자들이 궁극적으로 원하는 목적을 이루는 공격이다.

 

③ 공격의 동기(Motivated)

 APT는 주로 국가간 첩보 활동이나 기간 시설 파괴 등의 특정 목적을 달성하기 위해 행해지며, 대부분 배후에 후원하는 첩보 조직이나 단체가 연관되어 잇다. 이는 APT가 단순히 정보 유출만을 노리는것이 아니라 공격자가 지속적으로 표적을 원격 조종하여 정보 유출을 포함하여, 시스템 운영을 방해하거나 물리적인  타격까지 노리고있다는 것을 말해준다.

 

④ 공격의 목적(Tageted)

 지적, 재산권이나 가치 있는 고객 정보를 가진 거의 모든 조직들이 표적 공격의 대상이라면, APT는 주로 정부 기관이나, 기간 시설, 방위 산업체, 그리고 전세계적으로 경쟁력 있는 제품, 기술을 보유한 주요 기업들과 이들의 협력업체 및 파트너사들을 노림.

 

 

APT를 이용한 공격 사례

 

① 영국 RBS 월드페이 해킹 사건
 2008년 러시아의 해킹 그룹이 영국의 RBS은행의 월드 페이 시스템에 침입하여, 신용카드 정보를 훔처, 복제 카드를 만들고, 신용카드 한도를 올려서 12시간동안 미국, 러시아, 우크라이나, 에스토니아, 이탈리아, 홍콩, 일본  및 캐나다 등 전세계에 있는 2100개의 ATM 기기에서 약 950만달러 금액을 인출한 사건이 발생했다. 그리고 해커들은 이 사실을 숨기기 위해 시스템 데이터를 파괴했다.

② 다국적 석유회사 해킹(일명 Night Dragon)

 쉘, 엑슨모빌, BP, 마라톤오일, 코노코필립스 및 베이커 휴즈 등 미국의 다국적 석유 및 가스 회사 5곳이 "Night Dragon"이라고 불리는 사이버 공격을 당했다. 이 공격의 중국의 서버에서 이루어 졌으며, 공격의 동기는 기업 첩보활동으로 보이며, 미국과 네덜란드에 구축한 통제 서버를 이용하여 카자흐스탄, 대만, 그리스 및 미국의 컴퓨터 시스템에 접근한 것이다. 이 공격의 목적은 가스와 석유 분야의 생산 시스템, 석유 탐사와 관련한 재정 문서, 석유 및 가스의 임대 계약 및 산업통제시스템에 대한 정보를 수집하기 위한 것으로 파악되었다. 이 해킹사고는 2009년 부터 수행되었으며, 4년동안에 걸쳐 해킹 공격을 수행하였으며, 목표 회사의 석유 및 가스 관련 정보를 훔쳐 갔다.

③ 미국 국립오크리지연구소 해킹 사고
 미국 에너지부(DOE)산하의 국립오크리지국립연구소(ORNL)가 2011년 4월에 사이버공격을 발견했다. 이번 공격은 ORNL에서 가지고 있는 기술 데이터를 훔치기 위한 것으로 분석되었다. 하지만 해킹을 발견하기 전까지 이미 약 1GB의 정도의 데이터가 도난된 것으로 파악되었다. 이번 공격은 직원 복지와 관련된 이메일을 연구소 인사부에서 발송하는 것 처럼 만든 스피어 피싱(Spear phising) 메세지를 통해 연구소 시스템 접근을 획득하였다. 이메일 메세지 수신자들이 링크를 클릭한 순간 맬웨어가 시스템에 다운로드 되고, 그 중 단지 2대의 컴퓨터가 맬웨어에 감염되었으며, 이 맬웨어는 약 1주일간 잠복해 있다는 원격 서버에 데이터를 수집하여 전송한 것으로 파악되었다.
 
④ 모건 스탠리 해킹사고(일명 오로라 작전)
 구글 컴퓨터 시스템을 공격한 해킹 그룹이 모건 스탠리 시스템도 공격하였습니다. 일명 오로라(Aurora) 공격이라고 알려진 이 공격은 2009년 6월에 시작하였으며, 6개월동안 지속되었으며 200개 이상의 회사를 상대로 공격을 했다. 이 공격은 중국의 서버를 이용해서 공격이 이루어졌다. 
 
⑤ 현대캐피탈 해킹 사건

 2011년 4월 현대캐피탈의 고객 정보가 유출되는 사고로, 해커그룹이 업무 관리자의 아이디와 비밀번호를 습득한뒤, 보조 서버인 광고 메일 발송 서버와 정비내역 조희 서버에 침입해 화면을 복사하거나 해킹프로그램을 통해 다운로드하는 방법으로 175만명의 고객 정보를 빼내간 사건이다.

 

⑥ 네이버/ 싸이월드 개인정보 유출사건

 2011년 7월 네이트의 데이터베이스에 저장된 가입자 3,500만 명의 아이디, 비밀번호, 이름, 주민등록번호, 연락처 등 개인정보가 유출된 사고로, 해킹 그룹은 내부 개발자의 PC를 장기간 집중 공격하여 이를 통해 해킹에 성공한 대표적인 APT공격사례이다.

 

 

APT공격에 대한 대응책 

 한국인터넷진흥원(KISA)는 이를 위해 APT 공격의 예방을 위해 경영진, 보안 담당자, IT 담당자가 지켜야 할 항목인 조직의 APT 공격을 막기 위한 10가지 방법을 제시했다.

 

① 조직의 핵심 자산을 파악하라

- 보호가 필요한 핵심 자산을 파악해야 보호할 수준을 정할 수 있다.

② 경영진부터 일반 직원까지 보안 필요성을 인식하라

- 보안인식 제고 및 지속적인 교육을 통해 보안 수준을 높여야 한다.

③ 체계적인 보안을 위해 보안 관리체계를 구축하라

- PIMS, ISMS, ISO27001 등 필요한 관리체계를 구축하고 강화해야 한다.

관리체계가 구축되어 있으면 피해를 최소화 할수 있다.

④ CERT 등 IT 보안을 위한 전담 팀을 구축하라

- 평시 사고예방 및 대응을 위한 전담 팀이 필요하다. 관련 전담 팀이 있다면 효과적인 대응이 가능하다.

⑤ 핵심 자산의 접근은 최소 인원만 허가하고 관리하라

- 인사정보, 개인정보 등 주요 정보는 최소한의 허가된 자만 접근해야 한다.

⑥ 사용자별 접근권한을 다르게 설정하라

- APT 공격은 취약한 단말을 경유하여 시스템에 접근하므로 중요 정보에 대한 접근 권한관리가 필요하다.

⑦ 외부로부터의 공격, 내부로부터의 정보 유출 지점을 파악하라

- 사용하는 유선, 무선 네트워크, USB 등 보조기억매체를 점검한다.

⑧ 필요한 경우 망을 분리하라

- 인터넷과 내부망을 물리적으로 분리하면 인터넷을 이용한 악성코드 감염, 내부정보 유출을 막을 수 있다.

⑨ 보안 업데이트, 최신 백신을 설치하고 악성코드 침투를 예방하라

- 사용자의 단말이 공격받지 않도록 보안 업데이트, 허가된 프로그램만 사용, 출처가 불문명한 이메일 열람 금지, 불법 SW를 사용하지 않아야 한다.

⑩ 핵심 자산을 보호하기 위한 보안솔루션을 도입하라

- 암호화, 데이터 유출 방지, 외부 악성코드 유입 방지 등 보안 솔루션을 도입하라.

 

 

[출처]지능형 지속 해킹(Advanced persistent threat) APT 공격 요약 (지식공동체 IT감리 &컨설팅)

 

===========================================================================================================================

 

메일에 첨부되는 한글, 엑셀 등 각종 문서를 위장한 파일, Web이나  스크립트 기반의 일부 AV, IP, URL을 통해 공격이 시도 되고 있습니다. 방화벽의 IDS/IPS는 시그니처 기반의 분석을 하기 때문에 오탐률도 많고 최신 기술에 대해 대응이 좀 늦는 감이 있습니다. 그러므로 방화벽을 너무 맹신하지 말고, 외부로부터 정보를 유입 시 항상 주의하고 모르는 사람에게서 온 메일은 가급적 확인을 삼가하고, USB를 사용할 때 역시 인가된 USB이 외에는 사용을 금지해야 합니다. 또한, 백신 업데이트 및 정보의 암호화를 생활화 해야 합니다.