'프로젝트 관련 조사/APT' 카테고리의 글 목록 (3 Page)

프로젝트 관련 조사/APT

APT 공격 평가

호레 2015. 10. 1. 10:23

2015. 10. 1. 10:23

1 ~ 10 으로 나누었으며, 저레벨은 낮은 수준의 공격 기술이고, 정교함에 따라 순위가 올라간다.

공격시작지점

1. 실수로 실행시킨 악성코드 파일

2. 감염된 정보기기(USB등 저장매체)

3. 우연한(우발적인) 웹 브라우저 기반의 사용자 익스플로잇 공격

4. 소셜 네트워크를 통한 감염

5. 서버 사이드 익스플로잇 도구

6. 사용자 기반 맞춤형 익스플로잇

7. 내부자에 의한 감염

8. 사용자 맞춤형 첨부파일 공격(악성코드를 포함한)

9. 스피어 피싱, 피싱, 수평피싱(사원이 사원을 공격), 수직피싱(부하직원이 상사를 대상으로 공격)

10. 지능형 타깃 공격(이메일)

공격 규모

1. 일반 사원의 시스템

2. 팀장의 시스템

3. 네트워크 관리자의 시스템

4. 네트워크 관문 시스템 (DMZ, 웹 서버)

5. 관리 보조로 회사의 중요한 이메일 처리, 문서 출력, 스캔하는 사람의 시스템

6. 내부 DNS 서버

7. 내부 메일 서버

8. 파일 서버 또는 DB서버

9. 보안팀의 시스템

10. CEO, 고위 경영층의 시스템

위험 수준

1. 로그가 조작되지 않았다.

2. 로그인이나 인증 로그가 조작되었다.

3. 연결 로그나 시간이 조작되었다.

4. 모든 시스템 로그가 유실되었다.(공격이 발생된 시간 전후로)

5. 모든 시스템 로그가 변조되었다.

6. 운영체제의 보안 기능이 중지되었다.

7. 특정 보안 프로그램이 중지되었다.

8. 특정 프로그램이 변조되었다.

9. 운영체제가 변조되었다.

10. 모든 시스템이 깨끗이 지워졌다. (변조되거나 완전히 삭제)

타임 라인

1. 오랜 기간 동안 여러 시스템이 접속되었다. (탐색 중)

2. 오랜 기간 동안 특정 위치의 여러 시스템들이 접속되었다.

3. 오랜 기간 동안 특정 애플리케이션을 통해 여러 시스템들이 접속되었다.

4. 오랜 기간 동안 소수 시스템들이 접속되었고, 특정 정보를 가져갔다.

5. 정기적으로 특정 파일 유형을 목적으로 소수 시스템들이 접속되었다.

6. 정기적으로 소수 시스템들이 접속되었다.(특정 팀과 연관된)

7. 짧은 시간 동안 소수 시스템들이 접속되었다. (특정 팀과 연관된)

8. 짧은 기간 동안 정기적으로 단일 시스템이 접속되었다. (특정 팀원과 관련된)

9. 짧은 기간 동안 잠깐씩 목적한 단일 시스템에 접속되었다. (특정 팀원과 관련된)

10. 짧은 기간 동안 그리고 바로 단일 시스템에 접속되었다. (특정 팀원과 관련된)

기술과 방법

1. 기초적인 기법과 공개용 도구를 이용하였다.

2. 일부 변형된 기법과 공개용 도구를 이용하였다.

3. 완전히 변형된 기법과 공개용 도구를 이용하였다.

4. 완전히 변형된 기법과 일부 변형된 공개용 도구를 이용하였다.

5. 일부 변형된 기법과 변형된 공개용 도구와 상업용(크랙 포함) 도구를 같이 이용했다.

6. 전문 기법과 변형된 도구와 상업용 도구를 같이 이용했다.

7. 전문 기법과 변형된 도구와 상업용 도구를 같이 이용했고 탐지 가능한 패턴과 시그니처가 있다.

8. 완전 변형된 맞춤형 도구를 사용해 중간 정도의 운영체제 명령과 옵션, 인자값에 대해 중간 지식을 가지고 특정 용도로 사용

9. 완전 변형된 맞춤형 도구를 사용해 중간 정도의 운영체제 명령과 옵션, 인자값에 대해 전문 지식을 가지고 작업 목적으로 사용

10. 한 번도 사용하지 않았던 변형되고/맞춤형 툴과 공격자가 여러분의 네트워크 환경에 대해 잘 알고 있고, 운영체제 명령과 옵션, 인자값에 대해 전문 지식을 가지고 특정 용도로 사용

행위

1. 공격자가 여러분의 시스템을 연습용으로 이용했다. (아무런 피해도 정보 탈취도 하지 않음)

2. 공격자가 토렌트 시드 파일을 저장했다(영화나 포르노 음악)

3. 공격자가 웜을 이용해 시스템에 악성코드를 유포했다.

4. 공격이 악성 사이트를 통한 전형적인 감영 형태다.

5. 공격자가 여러분의 시스템을 대규모 사이버 범죄의 좀비 PC로 활용했다.

6. 공격자가 여러분의 시스템을 대규모 범죄에 활용하고 정보를 훔치는데 이용한다.

7. 공격자가 여러분의 시스템을이용해 외부의 또 다른 시스템을 공격하는데 이용한다.

8. 공격자가 여러분의 시스템을 이용해 내/외부에 있는 또 다른 시스템이나 파트너, 소비자, 연관 시스템을 공격하는데 발판으로 사용한다.

9. 공격자가 여러분의 시스템을 이용해 내/외부에 있는 또 다른 시스템을 공격하고, 조직내의 특정 정보에 초점 맞춰 공격하는데 이용한다.

10.공격자가 여러분의 시스템을 이용해 내/외부에 있는 또 다른 시스템을 공격하고, 조직내의 특정 정보에 초점 맞춰 공격해 탈취한 정보를 팔아 금전적 이득을 취했다.

목표

1. 호기심으로 시도

2. 로그인 정보가 목적

3. 회사 관련 정보가 목적(이메일, 로그인정보, 기타 정보)

4. 회사 관련 정보, 관련 파트너, 고객 정보가 목적

5. 회사 직원의 개인 식별 정보가 목적

6. 회사 직원의 금융 정보가 목적

7. 회사의 금융 정보가 목적

8. 회사 운영정보, 금융정보, 연구개발 정보가 목적

9. 회사의 특정 고위 관리자의 정보가 목적

10. 회사의 가장 중요하고 민감한 기밀 정보가 목적

자원 과 정보 수집은 표로 분류하여 측정하기는 힘들고 직접 정보를 얻어서 표로 만들면 좋을 것이다.

공격시작 지점	1-10
공격 규모	1-10
위험 수준	1-10
타임라인	1-10
기술과 방법	1-10
행위	1-10
목표	1-10
자원	N/A
정보 수집	N/A

저작자표시

'프로젝트 관련 조사 > APT' 카테고리의 다른 글

APT 공격 예방 (0)	2015.10.08
APT 탐지 프레임워크 (0)	2015.10.01
APT 공격 사례 탐구 (0)	2015.09.30
APT 공부 - 표적형 공격 보안 가이드 책 정리 (0)	2015.09.09
APT 공격유형과 대응방안 (0)	2015.09.02

APT 공격 사례 탐구

호레 2015. 9. 30. 17:17

2015. 9. 30. 17:17

사례 이름	목표	타임 라인	자원	위험 수준	기술과 방법	공격 패턴	공격시작 지점	공격 규모	정보 수집
문라이트 매즈	첩보 활동	2년 넘게 시스템에 접근	다년간 코드, 기반시설 개발, 운영	알 수 없음	알 수 없음	타깃형 공격과 국외정보 습득	알 수 없음	알 수 없음	정보 수집 불가
스타카토	호기심 많은 해커가 사이버 범죄자로 전락	다양한 시간대에 활동	알 수 없음	알 수 없음	리눅스 커널에 대한 높은 지식과 라우터 프로그래밍 스킬	수많은 네트워크를 해킹하고 데이터를 훔침	알 수 없음	수백 대의 시스템과 다수의 대형 네트워크 공격	온라인 포럼
타이탄 레인	스파이 활동	신중하고 정확함	다년간에 걸친 코드 개발과 기반시설 확보, 운영	획득한 정보에 따라 달라짐	단순한 방법에서 정교한 방법까지 다양함	중요하고 민감한 정보 탈취	해외 IP주소 대부분 중국	수천 대	알 수 없음
스톰웜	스파이 활동	자동으로 동작하거나 수동으로 작동시킴	다년간에 걸친 코드 개발과 기반시설 확보, 운영	매우 낮음, 많은 변종에 의해 타깃 공격화	대규모 P2P봇넷	작업자가 주기적으로 모니터하고 대응함	해외 IP 주소	수백만 대	공격과 관련된 온라인 정보들
고스트넷	스파이 활동	신중하고 정확함	다년간에 걸친 코드 개발과 기반시설 확보, 운영	가능한 낮은 위험 수준을 유지	정교한 해킹 기술과 사기 수법을 가지고 있음	외교 정보 수집	해외 IP주소(일부는 중국군IP)	수백 대의 시스템	공격과 관련된 온라인 정보들
하데스	스파이 활동	신중하고 정확함	다년간에 걸친 코드 개발과 기반시설 확보, 운영	미션에 따라 낮음에서 높음까지	단순한 방법에서 정교한 방법까지 다양함	타정부에 의한 스파이 활동	해외 IP주소(일부는 중국군IP)	수백 대의 시스템	중국의 APT 공격과 관련된 온라인 정보들
오퍼레이션 오로라	스파이 활동	신중하고 정확함	다년간에 걸친 코드 개발과 기반시설 확보, 운영	가능한 낮은 위험 수준을 유지	단순한 방법에서 정교한 방법까지 다양함	타정부에 의한 스파이 활동	몇 가지 감염 경로를 보유	다양한 업체 수와 종류	공격과 관련된 온라인 정보들
스턱스넷	기간 시설에 대한 정보 수집과 시설 제어	신중하고 정확함	다년간에 걸친 코드 개발	가능한 낮은 위험 수준을 유지	특정 환경에 특화(스카다 시스템)	원격 서비스 거부 공격(PLC 시스템)	알 수 없음	알 수 없음	공격과 관련된 온라인 정보들
러시안 비즈니스 네트워크	금전적인 목적과 정보 수집 목적	자동으로 동작하거나 수동으로 동작시킴	다년간에 걸친 기반시설 개발	낮음부터 높음까지 있고 범죄 목적에 따라 다름	낮음부터 높음까지 있고 범죄 목적에 따라 다름	전세계 수백만 대 컴퓨터를 감염	세계 여러 곳의 네트워크에서 발생	수천 개의 IP들	공격과 관련된 온라인 정보들
봇넷	금전적인 목적과 정보 수집 목적	자동으로 동작하거나 수동으로 동작시킴	다년간에 걸친 기반 확보	낮음부터 높음까지 있고 범죄 목적에 따라 다름	낮음부터 높음까지 있고 범죄 목적에 따라 다름	전세계 수백만 대 컴퓨터를 감염	세계 여러 곳의 네트워크에서 발생	수천 개의 IP들	공격과 관련된 온라인 정보들
작전명 반격	정치적이고 정체성에 의함	자동으로 동작하거나 수동으로 동작시킴	알 수 없음	높음. 대부분의 사건이 공개됨	단순한 방법에서 정교한 방법까지 다양함	타깃 시스템을 대상으로 다양한 공격 행위를 벌임	세계 여러 곳의 네트워크에서 발생	집단 활동(수백만 대 컴퓨터)	공격과 관련된 온라인 정보들

저작자표시

'프로젝트 관련 조사 > APT' 카테고리의 다른 글

APT 탐지 프레임워크 (0)	2015.10.01
APT 공격 평가 (0)	2015.10.01
APT 공부 - 표적형 공격 보안 가이드 책 정리 (0)	2015.09.09
APT 공격유형과 대응방안 (0)	2015.09.02
APT대응 솔루션 비교 (0)	2015.09.02

APT 공부 - 표적형 공격 보안 가이드 책 정리

호레 2015. 9. 9. 10:01

2015. 9. 9. 10:01

주 공격 통로 : 이메일, SNS통한 악성 링크, USB

2차 확산 : SMB , RAT

표적형 이메일 공격 흐름

정보수집	페이스북, 트위터, 메신저, 검색 엔진등을 이용
내부 접근 침입	소셜엔지니어링 이용 공격 초기단계 - 사진, 주소, 근무처 정보 등을 압수 - 메신저 및 이메일로 연락(공격) 공격 개시 -클라이언트 PC가 표적 -안티바이러스 소프트웨어에 대응 * 발각되지 않기 위한 궁리 -악용할 취약점 선택
지속적인 공격	표적 네트워크에 지속적 공격 O RAT 설치 후 네트워크 장악 -PsTools 등을 이용 -패스워드 해쉬 값 절취 O 접속처 음폐 공작 -해킹 툴 등을 이용 O 파괴 공작 -Master Boot Table 등을 파괴
절취
목적 성공

표적형 이메일의 헤더 정보를 주로 살펴 봐야 한다.

표적형 이메일을 방어 할려면..

1. 이메일 헤더를 통한 선별

해외 공격자 판단 방법

발신 경로

-> 도메인이나 IP를 보고 보낸 국가를 파악할 수 있다.

문자 코드

-> Subject부분에 다른 나라의 언어가 사용됬을 경우 의심해볼 수 있다.

타임 존

->해외에서 보낼 경우 Date의 + 시간이 다를 것이다.

2. 이메일에 담겨 있는 첨부파일 분석

-Word

-Excel

-PPT

-PDF

-HWP

-Rich Text Format

--> Zero Day 취약점은 어케 막아야 할까..?

3. 이메일에 담겨 있는 URL 분석

위협 탐지

1. 표적형 이메일 수신자에 의한 탐지

2. 안티바이러스 게이트웨이, 안티바이러스 소프트웨어에 의한 탐지

3. 감사로그에 의한 탐지

4. MPS 등 멀웨더 대책 제품에 의한 탐지

5. 자산관리 툴에 의한 멀웨어 탐지

6. 앤드 포인트 대책 툴, 호스트형 IPS등에 의한 멀웨어 탐지

7. IPS, NGF 에 의한 탐지

8. 프록시 서버, URL 필터 로그에서 탐지

공격 트리거

중요한것

1. 압축과 업로드 관련 정보를 파악

2. Windows Prefetch 등 명령어 흔적 남는 곳을 파악

궁금한것

1. 다운로더의 패킷을 잡아 낼 수 있을까??

저작자표시

'프로젝트 관련 조사 > APT' 카테고리의 다른 글

APT 탐지 프레임워크 (0)	2015.10.01
APT 공격 평가 (0)	2015.10.01
APT 공격 사례 탐구 (0)	2015.09.30
APT 공격유형과 대응방안 (0)	2015.09.02
APT대응 솔루션 비교 (0)	2015.09.02

APT 공격유형과 대응방안

호레 2015. 9. 2. 11:22

2015. 9. 2. 11:22

출처: 보안뉴스

Q. APT 공격 대응 솔루션이 나오기 전에는 악성코드 탐지 및 예방 솔루션, 좀비PC 탐지 솔루션 등이 있었고 APT 공격이 이슈가 되면서 현재의 APT 대응 솔루션들이 나왔습니다. 이러한 APT 대응 솔루션들이 이전 다른 솔루션들과 비교해 차별화된 점은 무엇이며, 최근 APT 공격유형과 이에 적절한 대응방안은 무엇인가요?

A-1. 기존에는 악성코트 탐지, 침입시도 탐지 등의 특정 기능에 포커스되어 있었다면 APT 솔루션들은 기존 개별 보안 솔루션들의 통합버전이라 할 수 있습니다. 대표적인 차별점으로는 ‘동적분석’과 ‘상관관계 기반의 위협정보 검증’을 강화했다는 점을 들 수 있는데, 최근 APT 공격 대응 솔루션은 실시간으로 네트워크 상에 오가는 파일에 대한 동적분석 기능을 더욱 강화해 나가고 있으며, IP 및 도메인 등에 대한 위험 여부를 판단할 때 평판기반으로 축적되어 있는 데이터와의 비교를 통해 위험성을 판단해나가는 것이 특징입니다.

한편, APT 공격의 주요 시작점이 되는 직원 PC, 웹서버 등 엔드포인트에 대한 모니터링 필요성이 커지면서 엔드포인트 APT 대응 솔루션들이 부각되고 있습니다. 엔드포인트에서 전개되는 공격과정을 실시간 기록 및 분석해야 되기 때문에 해커가 인지하지 못하도록 Stealth 방법을 사용하면서 악성행위를 탐지해 내는 기술이 필요합니다.

(황보성 한국인터넷진흥원 팀장/hbs2593@kisa.or.kr)

A-2. 네트워크단에서 분석하느냐, 엔드포인트단에서 분석하느냐

APT 솔루션은 크게 두 가지 종류로 나눠 생각할 수 있습니다. 악성코드 분석을 네트워크단(Network Level)에서 하는지, 아니면 엔드포인트단(Endpoint Level)에서 하는지. 네트워크단에서 악성코드를 분석한다는 것은 어플라이언스 형태로 사내 인프라에 유입되는 파일들을 샌드박스, 즉 가상머신(VM)에서 분석한 뒤 이상 유무를 점검하는 것을 의미합니다.

이 형태의 솔루션들은 악성파일로 의심되는 파일을 가상의 공간에서 실행시켜 실제 악성행위를 하는지 관찰합니다. 앤드포인트단의 악성코드 분석은 백신(AV)과 동작방식이 비슷합니다. 사용자 PC에 설치돼 악성행위를 하기 전에 직접 탐지, 차단, 치료를 합니다. 이 둘을 결합한 형태도 있습니다. 네트워크단에서 우선적으로 차단하고 사용자PC에 설치된 에이전트로 추가 탐지, 치료를 하는 형태입니다.

네트워크 제품의 장단점은?

네트워크단에서 알려지지 않은 악성코드를 탐지하는 APT 솔루션은 구축이 간편하고 관리가 수월하다는 장점이 있습니다. 네트워크 인프라 앞단에 어플라이언스가 설치되는 방식이기 때문입니다. 또 의심되는 파일을 가상환경에서 돌려봄으로써 본래 시스템에 대한 피해를 최소화할 수 있습니다. 하지만 단점도 존재합니다. 물리저장매체 등을 통해 전염된 악성코드에 대해 탐지가 불가능하며, 이에 대한 치료도 할 수 없습니다. 아울러 최근 등장한 ‘가상머신 상황을 인지해 악성행위를 하지 않는 악성코드’에 대한 탐지를 할 수 없으며, 일부 솔루션의 경우 실행파일(Execution File)만 차단할 수 있는 한계점도 있습니다.

엔드포인트 제품의 장단점은?

엔드포인트 제품의 가장 큰 장점은 실제 사용자PC에 감염된 악성파일의 행위를 기반으로 차단, 치료하기 때문에 제대로 구축될 경우 가장 안전한 방식이 될 수 있다는 점입니다. 가상머신에서 탐지되지 않는 악성코드, 가상사설망이나 시큐어 소켓 레이어(SSL)로 암호화돼 유입된 파일 등도 결국 악성행위를 위해 사용자 PC에서 복호화되는데, 이때 일망타진하는 방식입니다.

네트워크 제품보다 저렴하고 다른 솔루션과 연동이 수월하다는 장점이 있으나 관리에는 다소 어려움이 있을 수 있습니다. 반대로 악성행위에 대한 정의가 완벽하지 않을 경우 악성코드를 제대로 잡아내지 못할 수 있다는 점이 가장 큰 단점입니다. 이는 오탐으로도 이어지거나 악성코드가 시스템 전체로 확산될 수 있습니다.

일반적인 형태와는 다른 네트워크 포렌식 제품도 있다?

앞서 소개한 두 종류의 솔루션은 악성코드를 어디서 탐지하는지에 초점이 잡혀있습니다만, 지금 소개하는 것은 네트워크 포렌식, 즉 네트워크 패킷 전수조사 제품입니다. 이 제품들은 네트워크 패킷 전부를 캡쳐, 분석합니다. 정상적인 패킷이 아닐 경우 이를 차단해 보안위협을 방지합니다. 최근에는 애플리케이션 레이어(L7)의 패킷까지 모두 분석해 악성파일이나 이상 애플리케이션을 탐지하는 기능도 추가된 상황입니다.

광의의 네트워크 포렌식 제품이라 할만한 몇몇 외산제품의 경우 내부로 유입되거나 외부로 유출되는 네트워크 패킷을 전수 조사하기 때문에 APT를 비롯한 다양한 보안위협에 대응할 수 있다는 장점은 있으나, 반대로 어마어마한 데이터로 인해 성능과 비용적인 이슈가 있는 것도 사실입니다. 이러한 이유로 관련 업체들은 빅데이터 분석 등 실시간 처리가 가능한 알고리즘 개발에 총력을 다하고 있습니다.

앞으로 APT 솔루션의 진화방향은?

사실 부제에 대한 답은 이미 나와 있습니다. 앞으로 APT 솔루션은 네트워크 제품과 엔드포인드 제품의 장점을 서로 결합하고 단점을 보완하는 형태로 진화할 것입니다.

(홍준석 한국산업기술보호협회 관제운영팀 팀장/jun0817@kaits.or.kr)

A-3. 네트워크 기반의 APT 장비 네트워크 트래픽에서 이상정보를 VM 환경에서 분석후 정책을 반영해 차단하는 방식으로 이상 탐지되는 패턴을 만들기 위해 관리자들이 이상 탐지되는 악성코드를 업데이트 해서 패턴을 만들어야 하므로 운영자의 역량이 필요합니다. 각 엔트포인트(End Point)에 Agent를 설치해 수집된 정보를 VM환경(클라우드 환경) 분석을 통해 수집하고 차단하는 방식입니다.

정보수집을 하게 되는 End Point 기술 역량이 낮기 때문에 End Point에서 수집하 는 Agent의 성능에 따라서 수집되는 정보가 달라질 수 있는 구조입니다. 즉, 에이전트의 수집능력과 VM 환경의 분석능력이 낮아진다면 탐지능력도 같이 낮아지는 단점이 존재합니다.

(박찬주 노브레이크 수석/root.mahanaim@gmail.com)

A-4. 근래 APT 방어 솔루션은 기존의 악성코드 탐지에 비중을 두었던 다른 솔루션 과는 달리 행위기반의 분석에 중점을 두고 있습니다. 이는 근래의 APT 공격이 주로 특정 타깃을 정하고 메일 또는 SNS 기반으로 전파되고 있기 때문입니다. 그러다 보니 기존의 패턴 기반의 보안 솔루션으로는 방어가 어려운 상태이며 모든 파일 및 URL에 대한 전수조사가 필요한 상태입니다. 이러한 전수조사를 위해서는 가상화 기반의 행위 분석 시스템이 필요합니다. 국산 제품의 경우 아직은 가상화 기반 기술력 부족으로 인해 전체적인 성능이 떨어져 대량 분석에는 외산장비가 주로 사용되고 있습니다.

A-5. APT 대응 솔루션은 샌드박스 기술을 활용해 악성코드 직접 실행 등을 통해 이상행위 탐지하는 기능이 가장 차별화된 점이며, 효과적인 방어를 위해서는 APT솔루션 구축 뿐만 아니라, 기 구축된 보안시스템에서 축적된 보안이벤트(로그)의 상관관계를 분석하거나 보안관제 고도화 등 다각적인 방어체계를 구축하는 것이 중요합니다. 일부 기업에서는 네트워크 포렌식이나 SIEM 등의 제품과 병행해 APT공격을 대응하고 있습니다.

(강정훈 11번가/jhkang@sk.com)

A-6. 표적 공격(Target Attack)과 APT(Advanced Persistent Threat) 공격은 모두 기술이나 기법을 의미하기 보다는 공격의 유형이나 방법을 의미합니다. 그럼 표적 공격과 APT 공격의 차이는 무엇일까요? 표적 공격은 APT 공격보다 이전에 나온 개념으로 불특정 다수가 공격 대상이었던 이전과 다르게 특정 개인이나 조직을 대상으로 한 공격으로 2000년도 중반에 많이 발생했습니다.

표적 공격은 특정 대상을 선정해 공격하는 행위로 보통 피싱 메일, 피싱 메시지, 제로데이 취약점 등을 이용합니다. APT 공격은 표적 공격이 발전한 것으로 특정 대상이 목적이기 보다는 좀 더 구체적으로 대상의 특정 데이터 혹은 특정 피해를 목적으로 합니다. 표적 공격보다 목적이 구체적이다 보니 보다 많은 시간이 소요되고, 목적을 이루는 동안 발각되지 않기 위해 고급 기법을 주로 사용합니다. 얼마 전까지만 해도 APT라는 용어가 생소했지만 기존 공격보다 이슈 거리가 많다보니 최근에는 널리 일반화되었습니다.

공격을 막을 수 없다면 어떻게 해야 할까요? 막을 수 없다면 첫째, 가능성을 최소로 낮추고, 둘째 공격 인지 시 신속한 대응으로 피해를 최소화 해야 합니다. 정책 측면에서는 획일화된 정책으로 예외사항 축소, 정책위반 패널티 적용, 비업 무용 프로그램 차단 등이며, 솔루션 측면에서는 Unknown 악성코드 탐지, Web및 응용프로그램 차단, IPS, IDS, WAF, WIPS 등을 복합적으로 사용하고 인적 측면에서는 악성코드 지식을 보유한 분석능력 보유 인력의 활용으로 복합적으로 혼용해야 합니다.

과거의 APT 대응 솔루션은 주로 시그니처나 행위 둘 중 하나에만 중점을 둔 분석엔진을 사용했습니다. 이러한 방식은 처리해야 할 데이터의 크기가 증가하고 알려지지 않은 악성코드의 수가 급격히 증가함에 따라 데이터처리와 분석에 관한 많은 한계점이 발견되었습니다. 최근 APT 보안 솔루션들은 이러한 한계점을 극복하기 위하여 클라우드를 이용해 대용량의 악성코드 관련 정보를 효과적으로 처리하고 있으며, 가상화 기반 기술을 사용하여 제로데이와 같은 취약점들을 탐지하고 있습니다. 이는 사이버보안 기술이 다른 IT 기술의 발전과 서로 영향을 주고받는 주요 사례로 평가받고 있습니다.

(안상수 ISMS인증심사원·ISO27001선임심사원/ssahn@nuriins.com)

A-7. 이전의 APT 대응 솔루션은 Client PC단에서의 보안에만 집중했다면, 최근의솔루션들은 N/W 트래픽, 외부와 연결된 시스템에서 들어오는 파일들에 대해서도 모두 관리하는 기능을 갖춘 것이 차이점이라 할 수 있습니다. 일반적으로 APT 공격은 특정기관을 공격하려는 목적으로 시행되는 것이라 알려져 있지만, 꼭 특정기관/기업만을 노리고 공격하진 않습니다. 주로 빈번하게 나타나는 APT 공격 유형은 메일 또는 웹하드 등을 통해 다운로드하면서 사용자들에게 악성코드를 배포하고 감염된 PC와 사용자의 정보를 수집한 후 중요 인물의 계정을 탈취하여 내부시스템에 접근하는 방식입니다.

이처럼 APT 공격은 누구나 감염될 수 있고 기업/기관의 많은 구성원 중 1명만 감염되더라도, 감염된 PC의 사용자가 접근 가능한 모든 정보가 유출되거나, 내부 시스템이 파괴되는 사고까지 일어날 수 있습니다. 이러한 APT 공격에 대응하기 위해서는 Client/Server 등 내부 시스템과 연결되어 내부로 들어오는 모든 파일들에 대해 악성코드를 탐지하고 악성코드가 발견되지 않아 외부에서 내부로 유입된 파일들도 내부에서 이상행위를 하지 않는지 감시해야 합니다.

(조태희 소프트캠프 R&D 기획조정실 차장/thcho@softcamp.co.kr)

[김태형 기자(boan@boannews.com)]

저작자표시

'프로젝트 관련 조사 > APT' 카테고리의 다른 글

APT 탐지 프레임워크 (0)	2015.10.01
APT 공격 평가 (0)	2015.10.01
APT 공격 사례 탐구 (0)	2015.09.30
APT 공부 - 표적형 공격 보안 가이드 책 정리 (0)	2015.09.09
APT대응 솔루션 비교 (0)	2015.09.02

PREV 이전 1 2 3 4 NEXT 다음

Unique Life