지능형 지속 위협편집자 확인

지능형 지속 위협은 기존의 일반적인 사이버 공격과 명확히 구분되는 몇 가지 핵심적인 차이점을 보인다. 가장 큰 차이는 공격의 목적, 지속성, 그리고 정교함에 있다. 일반적인 사이버 공격(예: 대량 발송 피싱 이메일, 랜섬웨어, 웹사이트 변조 등)은 주로 금전적 이득을 목표로 하거나, 단기간 내에 광범위한 표적을 공격하여 빠르게 목적을 달성하는 경우가 많다. 반면, APT는 특정 조직이나 국가를 장기간에 걸쳐 표적으로 삼으며, 기밀 정보 탈취, 감시, 장기적인 침투와 같은 전략적 목표를 추구한다.

공격의 지속성과 은밀성에서도 뚜렷한 차이가 나타난다. 일반 공격은 비교적 쉽게 탐지될 수 있는 공격 벡터를 사용하고, 침입 후 빠르게 행동하는 경향이 있다. APT 공격자는 표적 시스템에 처음 침투한 후, 백도어를 설치하거나 합법적인 관리 도구를 악용하는 등 다양한 방법으로 지속성을 확보한다. 그들은 수개월에서 수년에 걸쳐 네트워크 내부에 잠복하면서 활동을 최소화하며, 정기적인 명령 및 제어 서버와의 통신도 매우 은밀하게 이루어지도록 설계한다. 이는 단발성 공격과 대비되는 APT의 가장 두드러진 특징이다.

마지막으로, 공격에 투입되는 자원과 기술의 수준이 다르다. APT 공격은 종종 국가나 조직의 후원을 받는 전문 해킹 그룹에 의해 수행되며, 상당한 시간과 금전적 자원이 투입된다. 이들은 표적에 대한 철저한 정찰을 수행하고, 맞춤형 맬웨어를 개발하며, 공격 전·중·후에 흔적을 최대한 제거하기 위한 노력을 기울인다. 반면, 많은 일반 사이버 공격은 상용화되거나 쉽게 구할 수 있는 공격 도구를 사용하여 비교적 낮은 기술력으로도 실행 가능하다.

지능형 지속 위협의 주요 목표는 일반적인 사이버 범죄와 구분되는 명확한 동기와 목적을 가지고 있습니다. 주로 국가 차원의 정보 수집, 산업 기밀 탈취, 정치적·군사적 이익, 또는 특정 조직의 파괴와 같은 전략적 목표를 추구합니다.

주요 목표는 다음과 같이 분류할 수 있습니다.

이러한 목표는 경제적 이익만을 추구하는 일반적인 사이버 공격과 달리, 장기적인 국가 이익이나 조직의 전략적 목표에 부합합니다. 공격 대상은 공격자의 목적에 따라 매우 선별적으로 정해지며, 공격 과정에서도 표적의 가치에 상응하는 높은 수준의 자원과 정교함이 투입됩니다.

정찰 및 정보 수집 단계는 지능형 지속 위협 공격 수명주기의 첫 번째이자 가장 중요한 단계이다. 공격자는 표적 조직에 대한 광범위한 정보를 수집하여 취약점을 식별하고 맞춤형 공격 전략을 수립한다. 이 단계는 수일에서 수개월에 걸쳐 은밀하게 진행되며, 공격의 성공 가능성을 크게 높인다.

정보 수집은 공개 출처를 통한 수동적 정찰과 적극적 탐색을 결합하여 이루어진다. 공격자는 소셜 미디어, 회사 웹사이트, 뉴스 기사, 구인 광고, 기술 포럼, 그리고 후보자 프로필 등을 분석한다. 이를 통해 조직의 인력 구조, 사용 중인 정보 기술 시스템, 네트워크 토폴로지, 공급망 파트너, 심지어 주요 직원의 관심사와 연락처 정보까지 파악한다. 예를 들어, 링크드인 프로필을 통해 특정 부서의 시스템 관리자나 임원진을 식별할 수 있다.

이러한 정밀한 정보 수집을 바탕으로 공격자는 가장 효과적인 초기 침투 벡터를 결정한다. 예를 들어, IT 부서 직원을 대상으로 한 맞춤형 피싱 이메일을 작성하거나, 해당 조직이 사용하는 특정 원격 접속 소프트웨어의 취약점을 악용하는 공격 코드를 개발할 수 있다. 따라서 이 단계에서의 공격자 활동을 탐지하는 것은 매우 어렵지만, 조직의 공개 정보 관리 정책과 직원에 대한 보안 인식 교육은 중요한 예방 조치가 된다.

초기 침투는 지능형 지속 위협 공격 수명주기에서 공격자가 표적 시스템 내부에 최초로 발판을 마련하는 단계이다. 이 단계의 성공 여부는 전체 공격의 성패를 좌우하며, 공격자는 다양한 경로와 기법을 활용해 방어선을 뚫는다.

가장 흔한 초기 침투 벡터는 사회공학 기반의 정교한 피싱 이메일이다. 공격자는 신뢰할 수 있는 발신자를 사칭하거나, 피해자의 관심사를 정확히 파악해 맞춤형 메일을 제작한다. 이메일에는 악성 매크로가 포함된 문서 파일이나, 정상 프로그램으로 위장한 실행 파일이 첨부되거나, 악성 링크가 포함되는 경우가 많다. 또한, 제로데이 취약점을 악용한 워터링홀 공격[2]이나, 취약한 외부 서비스(예: VPN, 원격 데스크톱 프로토콜)에 대한 무차별 대입 공격도 빈번히 사용된다.

침투에 성공하면, 공격자는 주로 다음과 같은 형태로 초기 접근 권한을 얻는다.

이 단계에서 배포되는 페이로드는 주로 경량화된 다운로더나 역쉘 연결 스크립트이다. 이들의 주요 임무는 추가적인 악성 모듈을 다운로드하거나, 공격자의 C2 서버로부터 명령을 받을 수 있는 통신 채널을 구축하는 것이다. 초기 침투는 가능한 한 은밀하게 이루어지며, 공격 지표를 최소화하기 위해 합법적인 시스템 도구(예: PowerShell, WMI)를 악용하는 경우가 많다.

공격자는 초기 침투에 성공한 후, 시스템 내에 오랜 기간 잠복하며 활동하기 위해 지속성을 확보합니다. 이를 위해 자동 실행 레지스트리 키 수정, 예정된 작업 생성, 합법적인 시스템 프로세스에 악성 코드 삽입(프로세스 홀로우잉) 등의 기법을 사용합니다. 목표는 시스템을 재부팅하거나 계정 암호가 변경되더라도 공격자의 접근이 유지되도록 하는 것입니다.

권한 상승은 제한된 사용자 권한으로는 접근할 수 없는 중요한 자원을 획득하기 위한 필수 단계입니다. 공격자는 운영체제나 응용 프로그램의 알려진 취약점(제로데이 취약점 포함)을 악용하거나, 암호 해시 덤프(Mimikatz 같은 도구 활용), 서비스 구성 오류 등을 통해 관리자 권한을 획득합니다. 높은 권한을 얻으면 시스템 전반을 통제하고 방어 장벽을 우회할 수 있습니다.

지속성과 권한 상승은 종종 결합되어 진행됩니다. 예를 들어, 관리자 권한으로 지속성 메커니즘을 시스템 깊숙이 설치하면 탐지와 제거가 더욱 어려워집니다. 공격자는 이 단계에서 추가적인 백도어를 설치하거나, 명령 및 제어 서버와의 통신 채널을 암호화하는 등 은닉 활동을 강화합니다.

측면 이동은 공격자가 초기 침투 지점에서 네트워크 내부로 더 깊숙이 침투하여 최종 목표 시스템이나 데이터에 접근하기 위한 과정이다. 이 단계에서 공격자는 네트워크의 구조를 이해하고, 더 높은 권한의 계정을 획득하며, 궁극적인 목표를 달성한다.

공격자는 주로 합법적인 관리 도구나 시스템 기능을 악용하여 이동한다. 대표적인 기법으로는 WMI와 파워셸을 이용한 원격 명령 실행, 패스 더 해시 공격을 통한 인증 정보 탈취 및 재사용, 그리고 SMB 프로토콜을 통한 파일 공유 탐색 등이 있다. 내부 네트워크 맵을 작성한 후, 공격자는 도메인 관리자 계정과 같은 높은 권한을 가진 자격 증명을 노리며, 이를 통해 중요한 서버나 데이터베이스에 접근한다.

목표 달성 단계에서는 탐지되지 않은 채로 핵심 자산에 대한 접근 권한을 확보하고, 미리 정해진 임무를 수행한다. 이 임무는 지적 재산이나 기밀 문서 탈취, 감시 활동 수행, 또는 향후 공격을 위한 백도어 설치 등이 될 수 있다. 공격자는 필요한 데이터를 식별하여 암호화되거나 압축된 형태로 준비하며, 이 과정에서 정상적인 관리 활동이나 네트워크 트래픽을 모방하여 탐지를 회피하려 한다.

공격자는 목표 데이터를 식별하고 암호화하여 외부로 유출합니다. 이 과정은 일반적으로 C&C 서버를 통해 장기간에 걸쳐 소량씩 이루어지며, 정상적인 네트워크 트래픽에 섞여 탐지를 회피합니다. 유출되는 데이터는 기업 비밀, 지식 재산권, 개인정보, 국가 기밀 등 조직의 핵심 자산입니다.

데이터 유출이 완료되면, 공격자는 자신의 흔적을 제거하여 활동을 은폐합니다. 이 단계는 공격의 마지막 단계이자, 향후 재침투를 위한 준비 단계이기도 합니다. 주요 활동에는 침입 경로로 사용된 백도어 및 맬웨어의 제거, 시스템 로그 및 감사 추적의 변조 또는 삭제, 임시 파일 정리 등이 포함됩니다.

이러한 흔적 제거 작업은 공격자가 시스템에 남긴 최종적인 손상을 복구하기 어렵게 만들며, 사고 대응 팀의 근본 원인 분석을 방해합니다. 따라서 효과적인 방어를 위해서는 중앙 집중식 로그 관리, 변경 사항 모니터링, 디지털 포렌식 준비와 같은 사전 조치가 필수적입니다.

사회공학은 인간의 심리적 약점을 이용하여 비밀 정보를 얻거나 특정 행동을 유도하는 기법이다. 지능형 지속 위협 공격에서 이는 가장 흔하고 효과적인 초기 침투 수단으로 활용된다. 공격자는 표적 조직의 구성원을 신뢰할 수 있는 출처인 것처럼 가장하여 접근한다. 이를 통해 보안 인식을 우회하고, 방어 체계의 가장 취약한 고리인 사람을 직접 공략한다.

피싱은 사회공학의 대표적인 형태로, 이메일을 통해 악성 링크나 첨부 파일을 전송하는 방식이다. 보다 표적화된 공격인 스피어 피싱은 특정 개인이나 부서에 맞춤형 정보를 포함하여 훨씬 더 높은 성공률을 보인다. 예를 들어, 재무 부서 직원을 대상으로 한 위장된 세금 관련 공문이나, 인사 부서를 노린 가짜 이력서 파일이 사용될 수 있다. 최근에는 문자 메시지(스미싱)나 전화(비싱)를 이용한 변종도 등장했다.

공격자는 정찰 단계에서 수집한 정보를 바탕으로 매우 설득력 있는 메시지를 제작한다. 이는 피해자의 관심사를 반영하거나, 상사나 동료, 비즈니스 파트너를 사칭하여 긴급한 조치를 요구하는 형태를 띈다. 첨부된 문서나 링크를 클릭하면 맬웨어가 다운로드되거나 자격 증명을 입력하도록 유도하는 가짜 로그인 페이지(크리덴셜 하베스팅)로 연결된다. 이러한 초기 발판을 통해 공격자는 내부 네트워크에 침투할 수 있다.

이러한 공격을 효과적으로 차단하기 위해서는 기술적 통제뿐만 아니라 지속적인 보안 인식 교육이 필수적이다. 직원들은 의심스러운 이메일의 발신자 주소와 URL을 확인하고, 예상치 못한 첨부 파일을 함부로 열지 않도록 훈련받아야 한다.

제로데이 취약점은 소프트웨어 제조사나 대중에게 알려지기 전에 공격자에게 악용되는, 아직 패치가 존재하지 않는 보안 취약점이다. 이 취약점들은 공개된 정보가 없기 때문에 기존의 시그니처 기반 보안 솔루션으로는 탐지하기 매우 어렵다. APT 공격자들은 이러한 제로데이 취약점을 발견하거나 암시장에서 구매하여, 방어 체계를 우회하고 표적 시스템에 침투하는 데 사용한다.

공격 수명주기의 초기 침투 단계에서 제로데이 취약점은 특히 효과적인 수단이다. 공격자는 취약한 응용프로그램(예: 웹 브라우저, 오피스 제품군, PDF 리더)을 대상으로 정교하게 제작된 악성 문서나 웹 링크를 배포한다. 피해자가 이 콘텐츠를 열면, 알려지지 않은 취약점을 통해 시스템에 맬웨어가 설치되고 공격자의 제어 하에 들어간다.

제로데이 취약점의 악용은 APT 공격의 지능적이고 은밀한 성격을 단적으로 보여준다. 취약점이 공개되고 패치가 배포되면 그 효용이 급격히 떨어지기 때문에, 공격자들은 이를 최대한 오랫동안 비밀로 유지하며 고가치 표적을 공격하는 데 집중한다. 이에 대한 방어는 위협 인텔리전스를 통한 사전 정보 수집, 응용프로그램 화이트리스트, 그리고 정기적인 시스템 패치 관리가 핵심이 된다.

맬웨어는 지능형 지속 위협 공격의 핵심 실행 수단으로, 공격자가 시스템에 침투하고 지속성을 유지하며 목표를 달성하는 데 사용됩니다. 백도어는 맬웨어의 한 유형으로, 시스템에 비밀 통로를 만들어 공격자가 정상 인증 절차를 우회하여 재차 접근할 수 있도록 합니다. APT 공격에서 사용되는 맬웨어는 일반적으로 탐지를 회피하기 위해 맞춤형으로 제작되며, 합법적인 소프트웨어를 가장하거나 시스템 프로세스에 은닉하는 고급 기법을 활용합니다.

맬웨어의 주요 유형과 역할은 다음과 같습니다.

맬웨어는 종종 여러 단계로 구성된 체인 형태로 배포됩니다. 초기 침투용 드로퍼는 경량화되어 탐지 확률을 낮추며, 이는 주 로더를 다운로드합니다. 로더는 최종 페이로드인 RAT나 백도어를 메모리에 주입하여 실행합니다. 이 과정에서 리빙 오프 더 랜드 기법을 활용하여 윈도우의 합법적인 도구를 악용하거나, 파일 없는 맬웨어 기법으로 디스크에 흔적을 남기지 않는 경우도 많습니다. 백도어는 시스템 펌웨어, 예약 작업, 레지스트리 런 키 등에 설치되어 시스템 재시작 후에도 공격자의 접근 권한을 유지하게 합니다.

행위 기반 탐지는 지능형 지속 위협을 탐지하는 핵심 전략 중 하나이다. 이 방식은 알려진 악성 파일의 시그니처나 해시값을 매칭하는 전통적인 방법과 달리, 시스템이나 네트워크 내에서 발생하는 프로세스, 사용자, 애플리케이션의 활동 패턴을 분석하여 정상적이지 않거나 악의적인 행위를 식별하는 데 초점을 맞춘다.

이 접근법의 핵심은 기계 학습과 인공 지능 알고리즘을 활용해 정상적인 활동의 기준선을 수립하고, 이 기준에서 벗어나는 이상 행위를 실시간으로 탐지하는 것이다. 예를 들어, 평소 접속하지 않는 시간대에 관리자 계정으로의 로그인 시도, 평균을 크게 초과하는 데이터 전송량, 정상적인 업무 프로세스와 무관한 시스템 레지스트리 수정 행위 등이 탐지 대상이 될 수 있다. 이러한 분석은 엔드포인트 탐지 및 대응 플랫폼이나 확장 탐지 및 대응 시스템에서 주로 수행된다.

행위 기반 탐지는 특히 제로데이 공격이나 맞춤형 맬웨어처럼 시그니처가 존재하지 않는 새로운 위협에 효과적이다. 공격자가 목표 시스템 내에서 권한을 상승시키거나, 측면 이동을 수행하거나, 최종적으로 데이터를 유출하는 일련의 행위는 특정 패턴을 형성하는 경우가 많다. 이 패턴을 사전에 정의된 위협 모델이나 이상 징후와 비교하여 경고를 생성한다.

이 방법의 효과를 높이기 위해서는 조직의 정상적인 업무 흐름에 대한 정확한 기준선 설정과 지속적인 모델 튜닝이 필요하다. 너무 엄격한 규칙은 오탐을, 너무 관대한 규칙은 미탐을 증가시킬 수 있기 때문이다. 따라서 행위 기반 탐지는 위협 인텔리전스 및 다른 탐지 수단과 통합되어 다층 방어 체계를 구성할 때 가장 강력한 성능을 발휘한다.

엔드포인트 탐지 및 대응은 지능형 지속 위협 방어의 핵심 축을 이룬다. 이는 네트워크 경계 방어만으로는 내부에 침투한 공격자를 탐지하기 어렵다는 인식에서 발전했다. EDR 솔루션은 서버, 데스크톱, 노트북 등 각종 엔드포인트에 에이전트를 설치하여 프로세스 실행, 레지스트리 변경, 네트워크 연결 등 세부적인 활동 데이터를 지속적으로 수집하고 분석한다.

EDR의 주요 기능은 이상 행위의 실시간 탐지와 대응 자동화에 있다. 예를 들어, 알려지지 않은 실행 파일이 중요한 시스템 디렉터리에 생성되거나, 정상적인 업무 시간 외에 대량의 데이터가 외부로 전송되는 패턴을 감지하면 즉시 경고를 발생시킨다. 많은 솔루션은 의심스러운 프로세스를 자동으로 격리하거나 종료하는 기능을 제공하여 공격자의 활동을 신속히 차단한다.

효과적인 EDR 운영을 위해서는 수집된 방대한 데이터를 효과적으로 분석할 수 있는 사이버 보안 분석가의 역량이 필수적이다. 또한, EDR 시스템은 네트워크 트래픽 분석 및 위협 인텔리전스 플랫폼과 통합되어 공격의 전반적인 그림을 제공해야 한다. 이를 통해 단순한 알림이 아닌, 공격자의 전술, 기술, 절차를 이해하고 대응하는 진정한 사고 대응이 가능해진다.

네트워크 트래픽 분석은 지능형 지속 위협 활동을 탐지하는 핵심 수단 중 하나이다. 이는 조직 내부와 외부를 오가는 네트워크 패킷 데이터를 수집, 검사, 분석하여 정상적인 통신과는 다른 이상 징후나 악성 활동을 찾아내는 과정이다. APT 공격자는 측면 이동이나 명령 및 제어 서버와의 통신, 데이터 유출 시도 시 필연적으로 네트워크를 사용하게 되므로, 이 트래픽을 분석하면 공격의 여러 단계에서 증거를 발견할 수 있다.

분석은 일반적으로 딥 패킷 검사와 네트워크 트래픽 분석 도구를 통해 이루어진다. DPI는 패킷의 헤더뿐만 아니라 페이로드(실제 데이터 내용)까지 검사하여 암호화되지 않은 악성 코드나 명령어, 유출되는 민감 데이터를 식별할 수 있다. NTA 도구는 장기간에 걸친 트래픽 흐름과 패턴을 학습하여 기준선을 만들고, 이를 벗어나는 이상 행위를 탐지한다. 예를 들어, 내부 호스트가 평소와 다른 포트를 사용하거나, 비정상적인 시간대에 대량의 데이터를 외부 C2 서버로 전송하는 경우를 포착한다.

APT 탐지를 위한 주요 네트워크 지표는 다음과 같다.

네트워크 트래픽 분석의 한계는 점차 증가하는 엔드투엔드 암호화 사용으로 인해 페이로드 검사가 어려워진다는 점이다. 따라서 최근의 방어 전략은 암호화된 트래픽 분석 기술과 함께, 행위 기반 탐지 및 엔드포인트 탐지 및 대응 솔루션과의 연동을 통해 네트워크 상의 메타데이터와 엔드포인트의 활동 로그를 상호 연관지어 종합적인 위협 상황을 파악하는 방향으로 발전하고 있다.

위협 인텔리전스는 지능형 지속 위협을 포함한 사이버 위협에 대해 사전에 대응하고 방어 전략을 수립하는 데 핵심적인 역할을 한다. 이는 단순한 위협 데이터의 수집을 넘어, 공격자의 동기, 능력, 전술, 기법 및 절차를 분석하여 조직에 실질적인 위험을 초래할 수 있는 정보로 가공하고 전파하는 체계적인 과정이다. 효과적인 위협 인텔리전스 프로그램은 공격 수명주기의 초기 단계에서 위협을 식별하고 차단할 수 있도록 지원하여 피해를 최소화한다.

위협 인텔리전스는 일반적으로 전략적, 작전적, 기술적, 전술적 수준으로 구분된다. 전략적 인텔리전스는 장기적인 위협 트렌드와 공격 그룹의 배경을 분석하여 의사결정자에게 전략적 통찰을 제공한다. 작전적 인텔리전스는 특정 공격 캠페인이나 APT 그룹의 구체적인 공격 계획과 방법에 초점을 맞춘다. 가장 실무적으로 널리 활용되는 것은 기술적 및 전술적 인텔리전스로, 공격에 사용된 맬웨어 해시값, 악성 도메인 네임, IP 주소, 공격 표면 등을 포함한 즉시 활용 가능한 지표와 공격자의 TTP를 제공한다.

조직은 이러한 인텔리전스를 다양한 소스로부터 수집하고 통합하여 활용한다. 주요 소스는 다음과 같다.

수집된 인텔리전스는 보안 운영 센터의 SIEM 시스템이나 엔드포인트 탐지 및 대응 플랫폼에 자동으로 피드되어 실시간 탐지 규칙을 강화하는 데 사용된다. 예를 들어, 새로운 APT 캠페인에서 사용된 악성 도메인 네임이 인텔리전스 피드로 제공되면, 방화벽이나 DNS 필터링 시스템에서 해당 도메인에 대한 접근을 선제적으로 차단할 수 있다. 또한, 특정 그룹의 전술을 이해함으로써, 방어팀은 네트워크 내에서 유사한 행위 패턴을 사전에 찾아낼 수 있는 행위 기반 탐지 시나리오를 구축한다.

APT29는 러시아의 외교정보국과 연관된 것으로 추정되는 지능형 지속 위협 그룹이다. 주로 서방 국가의 정부 기관, 외교 단체, 연구 기관, 그리고 COVID-19 백신 연구 시설 등을 표적으로 삼는 것으로 알려져 있다. 이 그룹은 2008년경부터 활동을 시작한 것으로 추정되며, "Cozy Bear", "The Dukes", "Yttrium" 등 다양한 이름으로 불린다.

이 그룹의 공격 방식은 정교한 사회공학과 맞춤형 피싱 이메일을 통해 시작되는 경우가 많다. 초기 침투 후에는 맬웨어를 배포하고 백도어를 설치하여 장기간 표적 시스템 내에 잠복하며 정보를 수집한다. 주로 사용하는 맬웨어 패밀리로는 CozyDuke, MiniDuke, HammerDuke, 그리고 SeaDuke 등이 있다. 이 도구들은 탐지를 회피하기 위해 정상적인 시스템 프로세스를 가장하거나, 합법적인 클라우드 저장소 서비스를 명령 제어 서버로 활용하는 등 지속적으로 진화하는 특징을 보인다.

APT29의 주요 활동 사례로는 2015년 미국 국무부 및 백악관 네트워크 침해, 2016년 독일 연방의회 해킹, 그리고 2020년 미국 및 유럽의 COVID-19 백신 연구 기관을 표적으로 한 SUNBURST 백도어 공격이 포함된다. 특히 SUNBURST 공격은 솔라윈즈사의 Orion 소프트웨어 업데이트 체인을 오염시켜 수천 개의 조직에 영향을 미친 대규모 공급망 공격이었다.

이 그룹의 활동은 국가 차원의 정보 수집 및 지적 재산 탈취를 목표로 하며, 공격 주기가 매우 길고 은밀하게 진행된다는 점에서 전형적인 APT의 특징을 보인다. 주요 표적 분야는 다음과 같다.

APT28은 러시아의 군사 정보국인 GRU와 연관된 것으로 널리 알려진 지능형 지속 위협 그룹이다. 이 그룹은 2000년대 중반부터 활동이 관찰되었으며, 주로 정부 기관, 군사 조직, 외교 기관, 미디어, 에너지 및 국방 산업을 표적으로 삼는다. 그들의 활동은 정치적, 군사적 목표를 달성하기 위한 정보 수집에 중점을 두는 것으로 평가된다.

APT28은 기술적으로 정교한 공격 기법을 사용하며, 특히 제로데이 취약점을 적극적으로 탐색하고 악용하는 것으로 유명하다. 이들은 스피어 피싱 이메일, 악성 첨부 파일, 취약한 웹사이트를 통한 공격(워터링홀) 등 다양한 초기 침투 수단을 활용한다. 일단 시스템에 침투하면, 백도어를 설치하고 커맨드 앤 컨트롤 서버와 통신하며 장기간 잠복하면서 네트워크 내부를 탐색하고 중요한 데이터를 탈취한다.

이 그룹의 주요 공격 사례로는 2015년 독일 연방의회 해킹, 2016년 미국 민주당 전국위원회 이메일 유출 사건, 그리고 세계반도핑기구를 비롯한 여러 스포츠 관련 기관을 표적으로 한 공격이 포함된다. 그들의 공격 도구에는 X-Agent, X-Tunnel, Sofacy 등의 맞춤형 맬웨어 패밀리가 있으며, 정기적으로 변종을 만들어 탐지를 회피한다.

보안 연구자들은 APT28의 운영 방식과 도구 세트를 지속적으로 분석해 왔으며, 이 그룹의 활동은 국가 후원 사이버 스파이 활동의 전형적인 사례로 간주된다. 그들의 공격은 정치적 불안정을 조성하거나 전략적 우위를 확보하기 위한 정보를 획득하는 것을 목표로 한다는 점에서, 경제적 이익을 노리는 범죄 집단과는 구별된다.

Lazarus Group은 주로 북한 정권과 연관된 것으로 알려진 지능형 지속 위협 그룹이다. 이 그룹은 2000년대 중반부터 활동이 보고되었으며, 주로 금융적 이득을 목표로 한 사이버 범죄와 함께 정치적, 간첩 활동을 수행하는 것으로 평가받는다. 초기에는 한국과 미국을 대상으로 한 분산 서비스 거부 공격과 사이버 간첩 활동으로 주목받았으나, 시간이 지나면서 공격 범위와 목표가 크게 확대되었다.

주요 공격 사례로는 2014년 소니 픽처스 엔터테인먼트 해킹[6], 2016년 방글라데시 중앙은행을 표적으로 한 SWIFT 네트워크 공격, 그리고 2017년 전 세계를 강타한 워너크라이 랜섬웨어 공격이 포함된다. 특히 워너크라이 공격은 Lazarus Group이 개발한 해킹 도구 'EternalBlue'를 악용해 실행되었으며, 이를 통해 막대한 금전을 갈취하려는 시도가 이루어졌다.

이 그룹의 공격 기법은 지속적으로 진화해 왔으며, 정교한 사회공학 기반의 피싱 캠페인, 제로데이 취약점 악용, 그리고 맞춤형 맬웨어와 백도어의 사용이 특징이다. 주로 표적 조직의 직원을 속여 악성 문서나 링크를 클릭하게 만드는 방식으로 초기 침투를 수행하며, 이후 내부 네트워크에서 장기간 잠복하며 측면 이동을 통해 최종 목표를 달성한다.

Lazarus Group의 활동 동기는 주로 외화 벌이와 북한 정권의 재정 확보, 그리고 지정학적 목적을 위한 정보 수집과 간첩 활동으로 분석된다. 미국 재무부와 여러 국가의 사이버 안보 기관들은 이 그룹의 활동을 지속적으로 모니터링하고 있으며, 관련 제재 조치를 시행하고 있다.

사고 대응 팀은 지능형 지속 위협 공격에 효과적으로 대응하기 위해 조직 내부 또는 외부 전문가로 구성된 전문 조직이다. 이 팀은 사고의 전 과정을 관리하며, 신속한 대응을 통해 피해를 최소화하고 재발을 방지하는 핵심 역할을 수행한다.

팀 구성은 일반적으로 다음과 같은 역할과 책임을 가진 전문가들로 이루어진다.

팀은 평시에는 정기적인 교육과 모의 훈련을 통해 대응 역량을 강화하고, 대응 절차를 문서화하여 표준 운영 절차를 유지한다. 실제 사고 발생 시에는 명확한 지휘 체계 아래에서 협업하며, 모든 조치와 결정 사항을 상세히 기록하여 사후 분석과 보고서 작성의 근거로 삼는다. 효과적인 팀 운영의 핵심은 각 구성원의 전문성과 신속한 의사소통 채널, 그리고 명확한 권한과 책임 구분에 있다.

공격이 확인되면, 가장 우선적인 조치는 영향을 받은 시스템을 네트워크에서 즉시 격리하는 것이다. 이는 측면 이동을 통한 추가 확산과 외부로의 데이터 유출을 차단하기 위한 필수 단계이다. 격리 방법에는 네트워크 세그먼트 분리, 방화벽 규칙 변경, 또는 물리적 연결 차단 등이 포함된다. 동시에, 영향을 받지 않은 정상 시스템에 대한 백업과 모니터링을 강화하여 2차 피해를 방지한다.

격리 후에는 신속한 복구 절차가 진행된다. 이 단계에서는 악성 코드를 완전히 제거하고, 악용된 취약점을 패치하며, 침해된 계정의 자격 증명을 변경한다. 시스템은 깨끗한 백업 이미지로 복원되거나, 필요한 경우 완전히 재구성된다. 복구 과정에서 모든 조치는 철저히 문서화되어 향후 참고 자료와 법적 증거로 활용된다.

사고의 근본 원인을 분석하는 것은 재발 방지에 핵심적이다. 공격 경로, 사용된 악성코드의 특징, 그리고 조직의 방어 체계가 무너진 지점을 조사한다. 이 분석 결과를 바탕으로 보안 정책을 재검토하고, 필요한 기술적 조치(예: 엔드포인트 탐지 및 대응 솔루션 강화, 패치 관리 체계 개선)를 도입한다. 마지막으로, 직원을 대상으로 한 사고 보고 및 사회공학 방어 교육을 실시하여 인적 요인의 취약점을 보완한다.