Endpoint Security Survey 2011 Infographic과 APT 공격

[이미지 출처 : Bit9 Endpoint Security Survey 2011]

Bit9에서 765개의 업체를 대상으로 보안에 관련된 설문 조사를 하였습니다.
그 설문의 결과를 분석 정리한 것이 위에 보이는 그림인데요.

답변한 회사의 60%가 보호해야할 대상에 대하여 가장 위험한 위협요소로 "APT"를 꼽았는데요.
도대체 APT라는 것이 무엇이길래 그런지 IBM의 Security Specialist인 김형욱님께서 IBM Security Summit(2011년 5월 18일)에서 발표한 "제로데이 공격 방어를 위한 IBM의 다계층 선제 대응 방안"이라는 문서의 내용을 보면서 배워 보겠습니다.

APT (Advanced Persistent Threat)란?

- 특정 대상의 기밀정보나 정치적 목적을 위해 최신의 복합적인 공격 기법과 방식들을 통해 지속적으로 위협을 가하는 형태

중요한 것은 "최신의 기법을 사용하여 (목적을 달성할 때 까지) 지속적"으로 공격을 한다는 것입니다.
최근 해킹의 특징을 5가지로 정리할 수 있는데요.

①High Targeted ②Well Funded ③Well Researched ④Designed to Evade Detection ⑤Multi-Modal and Multi-Step 입니다.

보시면 모두가 APT의 특징이라고 볼 수 있겠습니다. 아래의 APT를 풀어 설명한 것에도 잘 나와 있습니다.

- Advanced : 기존 보안 제품을 우회하도록 새로운 형태의 악성코드 제작, 아직 보고되지 않은 취약점을 악용한 공격 사용
- Persistent : 수 개월에서 수 년에 걸친 공격 수행, 발각에 대한 방해 및 조치 회피 시도(내성)
- Threat : 무작위 공격이 아님, 자동화된 툴과 단순한 스캐닝에 의존하지 않고 사람이 개임됨. 기밀 정보 획득을 위해  조직 내에 특정 개인 또는 그룹을 목표로 삼음

APT 공격 기법

- Reconnaissance(사전 조사) : 목표물을 인지하고 뚫기 위한 방법 연구. 초기 목표는 항상 진짜 목표가 아니다.

- 0-Day 공격 : 아직까지 발견되지 않거나 사용되지 않은 취약점을 악요. 주로 특수 제작된 악성코드 사용(광범위한 정보 수집에 사용)
- Social Engineering : 피싱 메일 주로 사용, 신뢰하는 개인/조직을 가장하여 이메일/메신저/소셜 네트워크 등을 이용. 본문에 악성코드를 포함하거나 악성코드 웹 페이지로 유도하는 링크 포함
- Covert(은닉) : 서두르지 않고 정상적인 사용자를 가장하여 활동. 합법적인 계정과 프로토콜 및 시간대를 이용하여 활동
- Privilege Escalation and Lateralization(권한상승) : 대부분의 공격자는 현재 계정이 갖는 권한 내에 수집 가능한 모든 정보를 수집. 일부 APT 공격의 경우 새로운 관리자 계정을 생성
- Adaptive : 공격이 발견되었는지에 대해 지속적으로 관찰하고 발각 시 이에 따라 필요한 대응을 취함. 공격자는 낮은 레벨의 공격 방법부터 사용
- Persistence : 공격자는 참을성을 가지고 오랜 기간 동안 목표를 관찰. 공격자는 타겟 네트워크에 지속적으롲 ㅂ근할 수 있는 다양한 백도어를 설치

APT에 대한 대응

- 사용자 교육 강화
- 물리적 네트워크 세그멘테이션
- 현재 보안 상태 재점검 및 강화
- 모니터링 강화
- 이메일 보안 강화
- 네트워크 보안 및 엔드 포인트 보안 강화
- 계정 권한 관리 시스템 강화
- SIEM


이상과 같이 APT의 내용과 방식, 대응에 대하여 알아 보았습니다.

그러나 더 중요한 것은 보안을 위시한 시스템 관리에 대한 우리의 구습을 벗어나는 것이 더 시급합니다.
원래 이렇게 해 왔어. 관리의 편의상 계정은 그렇게 만들어야 해 등등 우리가 현장에서 관습처럼 행하던 것들이 있지요. 이 모든 것을 빨리 벗어나고 시행해야 제대로 된 보안을 실행할 수 있을 것입니다.

보안도 인식의 전환 Paradigm Shift가 필요한 것이지요.