APT(지능형 지속 공격)란?
APT(지능형 지속 공격)는 확장된 공격이 장기간에 걸쳐 지속적으로 실행될 수 있도록 승인되지 않은 기반을 마련하는 공격입니다. APT는 다른 유형의 악성 공격에 비해 그 수는 적지만 큰 비용을 초래하는 심각한 위협으로 간주되어야 합니다. 실제로 NETSCOUT Arbor 13th Annual Worldwide Infrastructure Security Report에 따르면 2017년에 기업, 정부 또는 교육 기관의 16%만이 이러한 위협을 경험했으며 그중에서도 57%만이 2018년에 이러한 위협을 주요 우려 사항으로 꼽은 것으로 나타났습니다.
대부분의 멀웨어는 빠르게 피해를 입히는 공격을 실행하지만, APT는 이와 달리 보다 전략적이고 은밀한 접근 방식을 취합니다. 공격자는 트로이 목마 또는 피싱과 같은 기존 멀웨어를 통해 침입한 다음, 비밀리에 이동하여 네트워크 전체에 공격 소프트웨어를 심으면서 자신의 흔적을 숨깁니다. 이렇게 기반을 마련하면 원하던 목표를 달성할 수 있으며, 대부분의 경우 목표는 몇 개월 또는 몇 년에 걸쳐 지속적으로 꾸준히 데이터를 추출하는 것입니다.

맞춤형 내부 방화벽으로 데이터 센터 보호

엔터프라이즈 EDR을 통한 고급 위협 헌팅 및 사고 대응
반드시 공격 시퀀스가 있는 지능형 지속 공격
APT를 실행하는 공격자는 목표를 달성하기 위해 다소 표준화되고 순차적인 공격 접근 방식을 사용합니다. 다음은 공격자가 거치는 일반적인 단계를 간략하게 요약한 것입니다.
- 특정 전략 개발. APT 공격자는 공격할 때 일반적으로 데이터 도용과 같은 특정 목표를 항상 염두에 둡니다.
- 액세스 권한 확보. 공격은 취약한 대상을 식별하는 소셜 엔지니어링 기술을 통해 시작되는 경우가 많습니다. 그런 다음 스피어 피싱 e-메일 또는 일반적으로 사용되는 웹사이트의 멀웨어를 사용하여 자격 증명 및 네트워크에 대한 액세스 권한을 획득합니다. 공격자는 일반적으로 네트워크에서 명령 및 제어 설정을 한 번 시도합니다.
- 공격 기반 구축 및 조사. 네트워크에 입지를 구축하고 나면 공격자는 환경 전반에 걸쳐서 자유롭게 수평 이동하여 원하는 데이터에 가장 적합한 공격 전략을 탐색하고 계획을 수립합니다.
- 공격 준비. 다음 단계는 중앙 집중화, 암호화 및 압축을 통해 유출 대상 데이터를 준비하는 것입니다.
- 데이터 가져오기. 이 시점에서 데이터는 일반적으로 예고 없이 쉽게 유출되어 전 세계로 은밀하게 이동할 수 있습니다.
- 탐지될 때까지 반복. 이 프로세스는 최종적으로 탐지될 때까지 공격자의 숨겨진 거점을 통해 오랜 기간 반복됩니다.
엔터프라이즈 환경에서의 APT에 대한 단서
APT는 거의 항상 데이터 유출을 목표로 하기 때문에 공격자의 악의적인 활동 뒤에 증거가 남습니다. CSO에 따르면 다음과 같은 가장 명확한 징후 몇 가지가 있습니다.
- 심야 등 일상적이지 않은 시간에 로그인 증가
- 백도어 트로이 목마 프로그램 발견
- 설명할 수 없는 대규모 데이터 흐름
- 예상치 못한 집계 데이터 번들
- 해시 전달 해킹 툴 탐지
- Adobe Acrobat PDF 파일을 사용한 집중적인 스피어 피싱 캠페인
보안 전문가들은 최근 진행된 위협 헌팅 웹 세미나 시리즈에서 기업이 APT 공격의 징후가 될 수 있는 악성 행위를 발견하려면 무엇을 살펴봐야 할지에 대해 다양한 통찰력을 제공했습니다.
이러한 전문가들은 네트워크 연결을 설정하는 명령 셸(WMI, CMD 및 PowerShell)을 찾아보거나 관리자 권한이 없는 시스템에서 원격 서버 또는 네트워크 관리 툴을 확인할 것을 제안합니다. 또한 새로운 프로세스를 호출하거나 명령 셸을 생성하는 Microsoft Office 문서, Flash 또는 Java 인시던트를 찾을 것을 제안했습니다.
또 다른 단서는 관리자 계정의 정상적인 동작에서 발생하는 편차입니다. 로컬로 새 계정을 생성하는 작업이나 이상한 부모가 있는 회사의 도메인 또는 Window 프로세스(예: lsass, svchost 또는 csrss)도 해당 환경에 APT가 있다는 증거가 될 수 있습니다.
"기업, 정부 및 교육 기관의 57%가 APT를 주요 보안 우려 사항으로 꼽았습니다."
Industry Pulse: APT 공격에 대한 전문가의 통찰력
제대로 실행된 APT의 예로 대략 2009년 초에 시작된 캠페인인 APT10을 간략히 살펴보겠습니다. 잠재적으로 역사상 가장 오래 지속된 사이버 보안 위협 중 하나인 APT10은 최근 일부 일본 기업을 비롯한 다양한 국가의 여러 산업 분야를 대상으로 관리형 서비스 공급업체를 통해 기업을 공격하여 대량의 데이터를 훔쳤으며 그 피해 수준은 확인이 불가능합니다.
이러한 공격은 2016년 말부터 시작되었으며 PwC UK와 BAE Systems에 의해 발견되었습니다. 이 캠페인에 대한 공동 보고서인 Operation Cloud Hopper에서 조직들은 APT10으로 인한 전체 피해 범위를 결코 가늠할 수 없다는 사실을 쉽게 인정합니다.
다음은 이 조직들이 APT10에 대해 알게 된 몇 가지 주요 사항을 보고서에서 발췌한 것입니다.
- 이 캠페인은 중국에 소재한 위협 행위자가 오케스트레이션했을 가능성이 높습니다.
- 이 공격은 2009년 또는 그 이전에 시작되었으며 시간이 지남에 따라 다양한 유형의 멀웨어를 사용하여 전례 없는 규모의 액세스 권한을 확보합니다.
- APT10 공격자는 공격의 규모를 키우고 기능을 향상하는 데 도움이 되는 새로 개발된 지능형 툴을 사용하여 공격 방법을 지속적으로 발전시킵니다.
- 대부분의 APT 공격과 마찬가지로 APT10은 지적 재산과 중요 데이터를 대상으로 합니다.
- PwC UK와 BAE는 위협 행위자의 직원과 리소스가 빠른 속도로 증가하고 있으며, 고도로 숙련된 공격자로 구성된 여러 팀이 지속적으로 활동하고 있다고 판단합니다.
APT를 탐지하는 방법: 남겨진 단서를 찾기 위한 위협 헌팅
점점 더 많은 APT가 발견됨에 따라 보안 조직 역시 이 은밀한 위협을 발견하는 데 더욱 능숙해지고 있습니다. 진화하는 접근 방식 중 하나는 위협 헌팅으로, 혁신적인 기술과 인간의 지성을 사전 예방적이고 반복적인 접근 방식으로 결합하여 표준 엔드포인트 보안만으로는 놓칠 수 있는 공격을 식별합니다.
침해를 발견하는 데는 평균 150일이 소요됩니다. 그러나 위협 헌팅을 통해 조직은 필터링되지 않은 과거의 엔드포인트 데이터를 관찰하여 비정상적인 동작과 이상 활동 간의 관계를 발견함으로써 공격 시퀀스의 초기 단계에서 APT와 같은 공격을 발견할 수 있습니다.
위협 헌터는 일련의 혁신적인 기술 툴, 위협 인텔리전스 및 인간의 통찰력을 바탕으로 헌팅을 시작합니다. 그런 다음 반복적인 검색을 통해 근본 원인을 파악하여 헌팅 프로세스를 구체화합니다. 그러고 나면 위협을 차단하고 획득한 통찰력과 인텔리전스를 사용함으로써 위협에 대응하고 이를 통해 향후 환경을 보호합니다.
- 먼저 위협 헌터는 특정 위협의 알려진 특성과 더불어 잠재적인 공격 시퀀스에 대한 인간의 통찰력을 사용할 수 있습니다. 헌터는 모든 엔드포인트 활동을 모니터링, 기록, 저장하면서 동시에 환경을 검색하는 툴을 사용하여 일련의 반복적인 검색을 시작할 수 있습니다.
- 예를 들어 PwC UK와 BAE Systems는 공격자가 Outlook을 사용하는 e-메일 피싱 캠페인을 통해 전달된 악성 Excel 파일을 사용한다는 사실을 발견했습니다. 또한 연구원들은 이러한 파일을 열면 새 파일이 임시 폴더에 저장되고 이 파일이 C2 리스너 역할을 하여 8080 포트를 통해 전송된다는 사실도 발견했습니다.
- 초기 검색은 많은 양의 데이터를 반환할 수 있으므로 위협 헌터는 일반적으로 검색 범위를 좁혀야 합니다. APT10 위협의 경우 민감하고 중요한 데이터를 보유하고 있는 HR 머신이 하나의 검색 기준이 될 수 있습니다. 다음으로 위협 헌터는 알려진 인텔리전스를 사용하여 Outlook e-메일의 첨부 파일로 제공된 Excel 파일을 찾아 검색 범위를 더욱 좁힐 수 있습니다. 다음 논리적 검색 기준은 둘 이상의 연결이 포함된 네트워크 연결을 검색하여 발견할 수 있는 명령 및 제어 연결입니다.
- 이렇게 하면 더 작은 데이터 세트가 생성되어 악성 임시 파일을 노출시키는 프로세스 분석 트리로 표시될 수 있습니다. 일단 파악하고 나면 이 파일이 8080 포트를 통해 네트워크 연결을 생성하려고 시도했는지 추가로 추적할 수 있습니다.
- 이 일련의 활동을 통해 이 환경에서 활성 APT10 공격이 발생했음을 확인할 수 있습니다. 위협 헌팅 및 고급 차세대 안티바이러스 툴을 사용하면 호스트 컴퓨터에서 공격을 격리하여 네트워크에서 제거할 수 있습니다. 또 다른 옵션은 해시 값을 차단하여 실행을 막는 것입니다.
- 위협 헌터의 마지막 활동은 향후 공격으로부터 환경을 보호하는 것입니다. 이는 위에서 설명한 쿼리 순서를 일반화하고 확장하여 감시 목록을 만드는 방식으로 수행됩니다. 보안 툴은 이러한 활동을 식별하고 자동 e-메일 알림을 전송하여 즉시 교정 조치를 취할 수 있도록 지원합니다.
관련 솔루션 및 제품
NSX Sandbox
완전한 멀웨어 분석
NSX 네트워크 탐지 및 대응
AI 기반 NDR(네트워크 탐지 및 대응)
NSX Distributed Firewall
전체 스택 방화벽으로 데이터 센터 보호