TIL.47 APT 공격 및 방어 전략 (아파트 (?))

최근에 게임사의 보안 프로그램에 악성코드를 심어 넣어 게임 회사 업체들을 향한 APT 공격이 있었다는 소식을 접했습니다. 방식은 APT 공격이라고 하는데 요즘 아파트 밈이 떠오르고 있어서 블로그에 게시해 보았습니다.

출처 : 안랩 블로그 ASEC

1. APT(Advanced Persistent Threat) 공격

APT 공격은 단순한 해킹을 넘어선 정교하고 장기적인 침투 및 데이터 수집을 목표로 합니다.

공격자는 탐지되지 않은 상태로 네트워크에 오랫동안 상주하며,

기업 정보나 기밀 자료를 은밀히 유출하거나 시스템을 파괴하는 목적으로 활동합니다.

APT 공격은 주로 국가 지원 해커 그룹이나 조직화된 사이버 범죄 집단에 의해 수행되며,

경제적, 군사적, 정치적 이익을 위해 사용됩니다.

---

2. APT 공격의 단계별 설명

1) 정찰 (Reconnaissance)

▶ 공격자는 목표 기업 또는 조직에 대한 광범위한 정보 수집을 수행합니다.

• OSINT(Open Source Intelligence): 공개된 정보(웹사이트, 소셜 미디어)를 통해 취약한 부분을 분석합니다.
• 피싱 대상 식별: 조직의 주요 인물들(CEO, 관리자 등)을 식별하고 그들을 대상으로 피싱 공격을 준비합니다.

▶ 공격 환경 조사

• 방화벽, 운영체제, 네트워크 구조 등 내부 환경에 대한 정보를 수집합니다.

2) 초기 침투 (Initial Intrusion)

▶ 피싱 이메일이나 악성코드가 첨부된 문서를 통해 네트워크에 진입합니다.

• Spear Phishing: 특정 인물을 대상으로 정교하게 조작된 이메일 발송.
• 드라이브 바이 다운로드(Drive-by Download): 악성 링크를 클릭할 때 자동으로 파일이 다운로드됩니다.

▶ 제로데이 취약점을 활용하여 보안 시스템을 우회합니다.

• 제로데이 취약점은 제조사가 아직 인지하지 못한 보안 결함입니다.

3) 권한 상승 (Privilege Escalation)

▶ 침입에 성공한 후에는 초기 권한을 이용해 더 높은 권한(관리자 권한)을 획득합니다.

• 내부 사용자 계정의 패스워드를 탈취하거나 크래킹합니다.
• 취약한 서비스 계정을 이용하여 루트 접근 권한을 얻습니다.

▶ 공격자는 내부 서버와 시스템에서 크리덴셜(credentials)을 획득하여 더 많은 시스템에 접근합니다.

4) 수평 이동 (Lateral Movement)

▶ 내부 네트워크를 가로지르며 다른 서버와 컴퓨터를 탐색합니다.

▶ 네트워크 상의 중요한 데이터베이스나 파일 서버를 찾고 접근합니다.

• 내부 네트워크의 취약한 장비들을 스캔하여 감염을 확산합니다.
• RDP(Remote Desktop Protocol)나 SSH를 이용해 내부 시스템에 접근합니다.

▶ 공격자는 내부 시스템을 모니터링하며 기밀 정보를 수집합니다.

5) 정보 수집 및 유출 (Data Exfiltration)

▶ 수집한 기밀 정보나 데이터를 외부로 유출합니다.

• 암호화된 채널이나 위장된 트래픽을 통해 탐지를 피하며 데이터를 전송합니다.
• 클라우드 서비스나 외부 서버를 중계 서버로 활용할 수 있습니다.

▶ 중요 데이터

• 고객 정보, 지적 재산, 금융 정보, 군사 정보 등.

6) 백도어 설치 및 지속성 확보 (Backdoor and Persistence)

▶ 공격자는 백도어를 설치하여 재침입할 수 있는 통로를 마련합니다.

• 악성코드를 통해 시스템 재부팅 후에도 지속적으로 접근이 가능합니다.

▶ 공격이 탐지되거나 제거되더라도 다른 경로를 통해 다시 침투합니다.

• 여러 백도어를 분산 설치하여 방어를 우회합니다.

---

3. APT 공격의 주요 사례

1) 스턱스넷(Stuxnet)

▶ 이란의 핵 시설에 침투한 악성코드입니다.

▶ 특정 산업용 장비를 파괴하도록 설계된 웜으로, 물리적 장비를 공격한 첫 사례입니다.

▶ 이 공격은 이란의 원심분리기를 무력화하여 핵 개발을 저지하는 데 사용되었습니다.

2) APT1 (Comment Crew)

▶ 중국 인민해방군과 연관된 것으로 추정되는 해킹 그룹입니다.

▶ 미국 정부와 방산업체들을 대상으로 지적 재산권을 대규모로 탈취했습니다.

3) APT28 (Fancy Bear)

▶ 러시아 정보기관과 관련된 그룹으로 알려져 있습니다.

▶ 2016년 미국 대선 당시 민주당 서버를 해킹해 선거에 개입했습니다.

4) APT29 (Cozy Bear)

▶ 또 다른 러시아 관련 그룹으로, 주로 정부 기관을 대상으로 합니다.

▶ 백신 개발 기업과 외교 기관을 대상으로 한 공격으로 유명합니다.

---

4. APT 공격 방어 전략

1) 행동 기반 탐지와 모니터링

▶ SIEM(Security Information and Event Management) 솔루션을 사용해 비정상적인 행위를 탐지합니다.

▶ 내부 트래픽에서 평소와 다른 패턴을 발견했을 때 알림을 설정합니다.

2) 네트워크 분할(Network Segmentation)

▶ 중요한 데이터와 서버는 별도의 네트워크에 격리합니다.

▶ 침입자가 한 구역에 침투해도 다른 구역으로 확산되지 않도록 차단합니다.

3) 강력한 접근 제어와 최소 권한 원칙 적용

▶ 필요한 권한만 부여하는 최소 권한 원칙(Principle of Least Privilege)을 적용합니다.

▶ 중요한 시스템은 다중 인증(Multi-Factor Authentication)을 적용합니다.

4) 취약점 점검과 패치 관리

▶ 정기적으로 시스템 취약점을 점검하고 최신 패치를 유지합니다.

▶ 제로데이 공격에 대비해 빠른 패치 적용 체계를 마련합니다.

5) 보안 인식 교육

▶ 내부 직원들에게 소셜 엔지니어링 공격과 피싱 이메일에 대한 교육을 실시합니다.

▶ 보안 정책 준수에 대한 정기적인 점검을 수행합니다.

6) 데이터 암호화와 유출 방지 시스템(DLP)

▶  내부 데이터는 반드시 암호화해 저장하며, 외부로의 유출을 방지하는 DLP 솔루션을 사용합니다.

---

5. APT 공격 대응 체계 구축 예시

1) 사전 예방

▶ 정기적인 보안 점검과 취약점 관리

▶ 피싱 방지 툴과 방화벽 설정 강화

2) 침입 탐지 및 차단

▶ IDS/IPS(침입 탐지 및 방지 시스템)로 네트워크 상의 비정상 트래픽을 탐지합니다.

▶ 이상 징후가 발생했을 때 자동으로 네트워크를 차단합니다.

3) 사후 대응

▶ 침해 사고 발생 시 포렌식 분석을 통해 원인을 파악합니다.

▶ 시스템을 복구하고, 동일한 공격이 재발하지 않도록 보안 정책을 강화합니다.

---

6. 결론

APT 공격은 고도로 정교한 사이버 위협입니다.

단일 방어 기법만으로는 막기 어렵기 때문에,

다층적인 보안 체계와 정기적인 보안 점검이 필수입니다.

조직의 보안 문화를 개선하고, 공격 발생 시 신속한 대응이 가능하도록 준비하는 것이 무엇보다 중요합니다.