APT(Advanced Persistent Threat)

Ⅰ. 다양하고 지속적인 타겟 공격, APT 개요

가. APT 정의

- 특수한 목적을 가지고 타겟을 선정하여 정보를 수집하고 취약점을 파악하여 지속적으로 다양한 방법으로 공격하는 기법

 

나. APT 특징

- 명확한 타겟 목표

- 우회 공격

- 지능화

- 지속적

 

Ⅱ. APT 공격 시나리오 및 공격 기법

가. APT 공격 시나리오

나. APT 공격방식

공격 방식	설명
스피어 피싱	- 특정인, 유명인사, 사이트 사용자를 대상으로 한 피싱 공격
PLC	- Programmable Logic Controller, 오랜 기간 동안 정보를 수집하는 침투 공격
익스플로잇	- 타겟이 가지고 있는 취약점을 이용한 전용 제로데이 공격
내부자 위협	- 스피어피싱 이요하여 내부자 중요 정보 획득
사회공학적 기법	- 신뢰하는 개인 조직을 가장하여 악성코드 전송

- 다양한 공격 기법 이용하여 공격 대상을 지속적으로 공격

 

다. APT 공격 기법

단계	공격기법	설명
침투	관찰	- 표적 대상 파악하기 위해 수개월에 걸쳐 관찰 및 분석
	사회공학	- 내부 임직원의 실수로 악성코드 클릭 유도
	제로데이 취약점	- 패치 제공 전 침투할 수 있는 보안 허점 이요
	수동공격	- 자동화 공격이 아닌 표적 대상 수동의 정교한 공격
탐색	다중벡터	- 악성코드 호스트 시스템 침투후 추가 공격 도구 다운로드
	은밀한 활동	- 장시간 정보 확보를 위해 보안 탐지 시스템 회피 설계
	연구 및 분석	- 탐색으로 얻은 정보 연구 및 분석
수집	은닉	- 1차 공격 성공 후 정상 이용자로 가장하여 추가 정보 수집 및 모니터링 진행
	권한 상승	- 시스템 접근 권한 상승을 위해 패스워드 등 개인정보 획득
제어	유출	- 기밀 데이터 암호화하여 공격자에게 유출
	중단	- 원격으로 소프트웨어 또는 하드웨어 강제 종료 공격

 

Ⅲ. APT 공격 대응 방법

가. APT 대응 활동

구분	활동	내용
위험 발생 이전	위험 예방 전략 수립	- 보안관제 수행 - 위험분석 수행 - 보안전략 유효성 분석
	악성코드 유입 최소화	- 보안 인식 교육 수행 - 지속적 보안 업데이트 관리 - 보안 소프트웨어 설치 및 운영
위험 발생 이후	악성코드 감영 예방	- 어플리케이션 화이트리스트 구축 - 접근 권한 최소화 - 네트워크 접근 제한 및 망분리 - 신원확인 및 접근 권한 관리
	데이터 유출 예방	- 중요 데이터 보호 - 중요 데이터 유출 예방
	위험 탐지와 대응	- 호스트 및 네트워크 이상징후 탐지 - 침해사고 대응 프로세스 수행 - 침해사고 포렌식 프로세스 수행

 

나. APT 대응 방법

대응 방법	보안 강화	대상
보안관리 및 운영	- 조직의 종합적인 보안 위험 분석 후 보안 체계 재정비	보안정책관리 조직
보안교육 강화	- 조직 구성원들의 적극적 참여 유도, 보안 교육 실시	임직원 대상
엔드포인트 보안	- APT 공격 1차 대상인 엔드포인트 보안 강화	엔드포인트 단말
접근권한관리	- 중요정보보호, 접근권한 세분화, 인증추가	권한관리 인가자
중요 정보 암호화 및 DLP 운영	- 중요정보 암호화 저장, Data Loss Prevention 솔루션	암호화 솔루션
계층형 방어	- 단계별, 용도별 배치로 계층적 방어	CPNT Layered 방어

- 외부 침투 공격과 내부 유출 동시에 감시 및 대응하는 종합적인 대책 요구

 

Ⅳ.  APT 탐지 기술

취약 지점	탐지 기술	탐지 방법
클라이언트	이메일 스캐닝	- 정규 표현식 등 활용 메일 컨텐츠 분석
	평판/행위기반 분석	- 이상패턴 및 행위 규칙 기반 분석
	컨텐츠 분석	- 정적 데이터 파일들 취약점 분석
네트워크	패킷 검사	- 위험 구간 내 패킷 세밀한 분석
	포트 스캐닝	- 서비스 대상 IP와 PORT 주기적 검사
	트래픽 분석	- 트래픽 사용량과 송수신자 분석
서버	샌드박스	- 악성코드 활동 격리 원천 차단
	SIEM	- 보안 위협 탐지, 분석 및 대응
	로그 분석	- 시스템 로그 시계열 분석 공격 탐지

- 제로데이 공격 등에 효율적 대응하기 위해 클라우드 기반 보안서비스 적용 필요