APT
1. 개요
1. 개요
APT는 특정 조직이나 국가를 장기간에 걸쳐 표적으로 삼아 지속적이고 정교하게 이루어지는 사이버 공격을 의미한다. '지능형 지속 공격' 또는 '고급 지속 위협'으로 번역되며, 일반적인 사이버 범죄나 해킹과는 그 규모, 자원, 숙련도, 지속성에서 차별화된다.
주로 국가 기관, 군사 시설, 첨단 기술 기업, 금융 기관, 언론, 정치 단체 등이 표적이 된다. 공격의 궁극적 목적은 기밀 정보 탈취, 산업 기술 유출, 정치적 영향력 행사, 국가 기반 시설 교란 등에 있다. 이는 단순한 금전적 이득을 넘어선 전략적 목표를 지닌다.
APT 공격은 수개월에서 수년에 걸쳐 진행되며, 공격 수명주기의 각 단계에서 다양한 기법을 활용한다. 사회공학 기반의 피싱과 스피어 피싱, 제로데이 취약점 공격, 맞춤형 악성코드와 백도어 설치 등이 대표적이다. 공격자는 침투 후 내부 네트워크에서 은밀하게 활동하며, 탐지를 회피하고 지속성을 유지하기 위해 지속적으로 전술을 변화시킨다.
이러한 특성으로 인해 APT는 전통적인 보안 솔루션만으로는 탐지와 방어가 어렵다. 효과적인 대응을 위해서는 행위 기반 탐지, 위협 인텔리전스의 적극적 활용, 그리고 강화된 사고 대응 체계가 필수적이다.
2. APT의 정의와 특징
2. APT의 정의와 특징
APT는 특정 조직이나 국가를 장기적이고 지속적으로 표적으로 삼아, 고도로 숙련된 공격자가 다양한 기법을 활용해 침투, 은닉, 정보 수집 및 유출을 수행하는 사이버 공격을 의미한다. 이 용어는 2000년대 중반 이후 군사 및 방산 업체를 대상으로 한 정교한 공격들이 보고되면서 보안 업계에서 널리 사용되기 시작했다.
일반적인 사이버 범죄나 단순 해킹과 구분되는 APT의 핵심 특징은 지속성, 목표 지향성, 그리고 정교함이다. 공격자는 수개월에서 수년에 걸쳐 표적 조직 내부에 잠복하며, 침투 테스트를 능가하는 수준의 다양한 경로를 통해 지속적으로 접근 권한을 유지하고 확장한다. 그 목적은 주로 기밀 정보 탈취, 지적 재산권 침해, 감시 활동, 또는 국가 차원의 간첩 행위에 있다.
특징 | 설명 |
|---|---|
지속성 (Persistence) | 장기간에 걸쳐 표적 시스템 내에 잠복하며, 탐지를 회피하고 지속적인 접근을 유지한다. |
목표 지향성 (Targeted) | 특정 조직, 산업, 국가를 사전에 선정하여 공격을 수행한다. |
정교함 (Sophistication) | 맞춤형 악성코드, 제로데이 취약점, 사회공학 등 다양한 고급 기법을 복합적으로 사용한다. |
조직화 (Organized) | 충분한 자원과 전문성을 갖춘 공격 그룹이 체계적으로 공격을 수행한다. |
이러한 공격은 종종 국가가 후원하거나 국가와 연관된 그룹에 의해 수행되며, 방대한 자금과 인력, 기술적 자원이 동원된다. 따라서 피해 규모가 막대하고, 탐지 및 대응이 매우 어려운 것이 특징이다.
2.1. 일반 해킹과의 차이점
2.1. 일반 해킹과의 차이점
APT는 일반적인 해킹과는 목적, 지속성, 자원, 정교함, 대상 측면에서 뚜렷한 차이를 보인다. 일반적인 해킹은 주로 금전적 이득을 목표로 하며, 자동화된 도구를 사용해 취약점을 가진 다수의 시스템을 무차별적으로 공격하는 경우가 많다. 이러한 공격은 비교적 단기간에 이루어지고, 목표가 달성되면 공격 활동이 종료되는 특징을 가진다.
반면, APT 공격은 특정 조직이나 국가를 장기간에 걸쳐 표적으로 삼는다. 공격의 궁극적 목표는 기밀 정보 탈취, 산업 스파이 활동, 또는 중요한 인프라에 대한 잠복과 제어이다. 이를 위해 공격자는 상당한 시간과 자금, 고도의 기술력을 투자하여 표적에 대한 철저한 정찰을 수행한다.
비교 요소 | 일반 해킹 | APT 공격 |
|---|---|---|
주요 목적 | 금전적 이득, 명성, 단순 방해 | 기밀 정보 탈취, 장기간 감시, 정치/군사적 목적 |
공격 기간 | 단기간 (수시간~수일) | 장기간 (수개월~수년) |
공격 대상 | 취약점이 있는 무차별적 다수 표적 | 사전에 선정된 특정 조직 또는 국가 |
공격 방식 | 자동화된 공격, 알려진 취약점 활용 | |
자원 투입 | 제한적 자원, 범용 도구 | 상당한 자원(인력, 자금), 맞춤형 도구 |
탐지 회피 | 비교적 덜 신경씀 | 고도의 탐지 회피 기술과 지속성 유지에 집중 |
결론적으로, 일반 해킹이 '돈을 빨리 벌기 위한 범죄'에 가깝다면, APT는 '특정 목표를 위해 치밀하게 계획된 첩보 활동'에 비유될 수 있다. APT의 가장 큰 특징은 공격이 발견되고 차단되더라도 새로운 방법으로 지속적으로 재침투를 시도하는 끈질긴 지속성에 있다.
2.2. 주요 공격 목표
2.2. 주요 공격 목표
APT 공격의 주요 목표는 일반적으로 국가적, 경제적, 군사적 가치가 높은 기관과 조직이다. 공격의 궁극적 목적에 따라 목표가 세분화되며, 대부분 장기간에 걸쳐 기밀 정보를 수집하거나 핵심 시스템을 마비시키는 것을 목표로 한다.
공격 목표 유형 | 주요 대상 예시 | 공격 목적 |
|---|---|---|
정부 및 공공 기관 | 외교부, 국방부, 국가정보원, 연구소 | 국가 기밀 정보 탈취, 정책 및 전략 파악, 정치적 불안 조성 |
군사 및 방산 산업 | 군사 기지, 방위 산업체, 무기 개발 연구소 | 군사 기술 및 작전 정보 획득, 무기 체계 분석 |
중요 국가 기반 시설 | 에너지(전력망, 원자력), 금융, 교통, 통신 | 사회적 혼란 유발, 국가 운영 마비, 경제적 피해 |
고부가가치 기업 | 첨단 기술 기업(반도체, 바이오), 대기업 연구소 | 기업 영업 비밀 및 지식 재산권(IP) 탈취, 경쟁 우위 확보 |
미디어 및 비정부기구(NGO) | 주요 언론사, 인권 단체, 정치 단체 | 여론 조작, 특정 담론 형성, 표적 감시 |
특히, 국가 지원을 받는 APT 그룹은 상대국의 핵심 국가 기반 시설을 장기간 감시하며, 실제 분쟁 상황에서 이를 표적으로 삼는 경우가 많다. 또한, 경제적 이익을 추구하는 그룹은 기술 개발에 막대한 투자가 이루어지는 산업 분야의 연구 데이터를 노린다. 이러한 표적 공격은 단순한 금전적 이득보다 전략적 가치가 훨씬 크기 때문에, 탐지와 대응이 매우 어려운 특징을 가진다.
3. APT 공격 수명주기
3. APT 공격 수명주기
APT 공격은 단일 행위가 아닌, 공격 목표를 달성하기 위한 일련의 단계적 과정을 거친다. 이를 APT 공격 수명주기라고 부르며, 일반적으로 정찰, 침투, 확산, 유출, 지속성 유지의 단계로 구성된다. 각 단계는 다음 단계를 위한 발판이 되며, 공격자는 장기간에 걸쳐 은밀하게 활동한다.
첫 번째 단계는 정찰 및 정보 수집이다. 공격자는 표적 조직의 네트워크 구조, 사용 중인 소프트웨어, 직원 정보, 공개된 문서 등을 철저히 조사한다. 소셜 미디어와 링크드인 같은 플랫폼을 활용해 표적 직원의 프로필을 수집하는 것도 이 단계에 포함된다. 수집된 정보는 맞춤형 피싱 이메일을 제작하거나 공격 경로를 선정하는 데 활용된다.
초기 준비를 마친 후, 초기 침투 단계가 시작된다. 가장 흔한 수단은 스피어 피싱 이메일이다. 이메일에는 악성 매크로가 포함된 문서나 정상적인 파일로 위장한 악성코드 실행 파일이 첨부되거나, 유포된 링크를 클릭하게 유도한다. 또는 조직이 사용하는 소프트웨어의 제로데이 취약점을 이용해 직접 네트워크에 침투하기도 한다. 성공적인 침투는 시스템 내에 초기 발판을 마련하는 것을 의미한다.
침투에 성공하면, 공격자는 권한 상승 및 내부 확산 단계에 들어선다. 초기 감염 지점에서 시스템 관리자 권한을 획득하고, 내부 네트워크를 탐색하며 다른 시스템과 서버로 이동한다. 이 과정에서 패스워드 덤프[1], 평문 암호 탈취, 공유 폴더 악용 등의 기법이 사용된다. 목표는 핵심 자산이 저장된 시스템(예: 데이터베이스 서버, 파일 서버)에 접근하는 것이다.
마지막 두 단계는 데이터 유출 및 지속성 유지이다. 목표 데이터를 식별한 후, 공격자는 데이터를 암호화하여 소량씩 정상적인 트래픽(예: HTTPS)에 섞어 외부로 전송한다. 동시에, 향후 재침입을 위해 백도어를 설치하거나, 합법적인 관리 도구를 악용하는 등 시스템 내 지속성을 유지한다. 이는 공격이 탐지되어 일부 요소가 제거되더라도, 공격자가 다시 접근할 수 있는 통로를 확보하기 위함이다.
3.1. 정찰 및 정보 수집
3.1. 정찰 및 정보 수집
정찰 및 정보 수집 단계는 APT 공격 수명주기의 첫 번째이자 가장 중요한 단계이다. 이 단계에서 공격자는 표적 조직에 대한 상세한 정보를 수집하여 맞춤형 공격 전략을 수립한다. 공격 성공률을 높이기 위해 표적의 기술적 인프라, 조직 구조, 핵심 인물, 보안 체계 등 다양한 정보를 광범위하게 조사한다.
주요 정보 수집 대상은 다음과 같다.
수집 대상 | 설명 |
|---|---|
조직 구조 및 인력 정보 | 회사 웹사이트, 링크드인 프로필, 보도자료 등을 통해 임원, IT 담당자, 연구원 등 주요 인물의 이메일 주소, 직책, 관심사를 파악한다. |
기술적 인프라 | 공개된 IP 주소 대역, 사용 중인 소프트웨어 및 버전, 도메인 이름(DNS 레코드), 네트워크 토폴로지 정보를 수집한다. |
보안 체계 및 취약점 | 방화벽, 침입 탐지 시스템(IDS) 종류, 보안 정책, 공개된 보안 취약점(취약점 데이터베이스 참조)을 분석한다. |
비즈니스 관계 및 이벤트 | 파트너사, 고객사 정보와 함께 근처에 예정된 회의, 전시회 등 직원의 외부 활동 정보를 수집한다. |
정보 수집은 주로 공개 출처를 이용한 정보 수집(OSINT) 방식으로 이루어진다. 공격자는 소셜 미디어, 기업 웹사이트, 기술 포럼, 작업 게시판, 공개된 연구 논문, 깃허브 등의 코드 저장소에서 유용한 정보를 찾아낸다. 예를 들어, 직원이 소셜 미디어에 올린 회사 배지 사진이나 기술 블로그에 게시한 시스템 로그 샘플은 의도치 않게 중요한 정보를 노출할 수 있다. 이러한 정보를 바탕으로 공격자는 가장 효과적인 초기 침투 경로(예: 특정 인물을 대상으로 한 스피어 피싱 이메일, 공격에 활용할 특정 소프트웨어 취약점)를 결정한다. 이 단계의 정교함과 철저함이 이후 공격 단계의 성패를 좌우하는 핵심 요소가 된다.
3.2. 초기 침투
3.2. 초기 침투
초기 침투 단계는 공격자가 표적 조직의 내부 네트워크에 최초로 발판을 마련하는 단계이다. 이 단계의 성공 여부는 전체 공격의 성패를 좌우하므로, 공격자는 신중하게 수단을 선택한다. 가장 흔한 초기 침투 벡터는 사회공학적 기법을 이용한 피싱 또는 스피어 피싱 이메일이다. 이메일에 첨부된 악성 문서나 악성 링크를 통해 악성코드가 실행되면, 공격자는 첫 번째 침투 지점을 확보하게 된다.
다른 주요 수단으로는 제로데이 취약점을 활용한 공격이 있다. 공격자는 표적 시스템에서 아직 패치되지 않은 알려지지 않은 취약점을 이용하여 원격 코드 실행 등을 수행한다. 또한, 합법적인 소프트웨어 업데이트 서버를 장악하거나, 타사 공급망을 공격하여 신뢰받는 소프트웨어 배포 채널을 통해 악성코드를 유포하는 공급망 공격도 빈번히 사용된다.
초기 침투에 성공하면, 공격자는 일반적으로 외부 C&C 서버와 통신할 수 있는 작은 백도어나 다운로더를 설치한다. 이는 주로 메모리 상에서만 실행되는 파일 없는(Fileless Malware) 형태를 띠어 탐지를 회피하려는 시도가 많다. 이 단계에서 설치된 초기 페이로드는 복잡한 기능보다는 추가적인 악성 모듈을 다운로드하거나, 공격자에게 내부 시스템에 대한 초기 접근 권한을 제공하는 데 중점을 둔다.
3.3. 권한 상승 및 내부 확산
3.3. 권한 상승 및 내부 확산
초기 침투에 성공한 공격자는 제한된 권한을 가진 계정이나 시스템에 접근한 상태입니다. 이 단계의 목표는 네트워크 내에서 더 높은 수준의 접근 권한을 획득하고, 목표 시스템을 찾아 이동하며, 장기적인 거점을 마련하는 것입니다.
권한 상승은 일반적으로 시스템 또는 응용 프로그램의 취약점을 악용하거나, 유효한 자격 증명을 탈취하여 수행됩니다. 공격자는 로컬 권한 상승 취약점을 이용해 사용자 권한에서 관리자 권한으로 상승하거나, 도메인 관리자 계정의 패스워드 해시를 덤프하는 패스스루 해시 공격을 시도합니다. 내부 확산은 획득한 권한과 자격 증명을 바탕으로 윈도우 관리 공유, WMI, 원격 데스크톱 프로토콜과 같은 합법적인 관리 도구와 프로토콜을 악용해 네트워크를 횡적으로 이동합니다. 이 과정에서 공격자는 추가 시스템의 자격 증명을 수집하며, 그 영향 범위를 점차 확대합니다.
공격자는 지속성을 확보하기 위해 확산 과정에서 다양한 백도어와 C2 서버와의 통신 채널을 구축합니다. 내부 네트워크의 구조와 중요한 자산을 매핑한 후, 최종 목표(예: 데이터베이스 서버, 파일 서버, 개발 시스템)에 접근할 수 있는 충분한 권한과 경로를 확보하는 것이 이 단계의 완료를 의미합니다.
주요 활동 | 설명 | 활용 도구/기법 예시 |
|---|---|---|
권한 상승 | 사용자 권한에서 시스템/관리자 권한으로의 상승 | 로컬 권한 상승 취약점 악용, UAC 우회, 자격 증명 덤프(Mimikatz) |
자격 증명 접근 | 메모리 또는 디스크에서 패스워드 해시/토큰 수집 | |
내부 횡적 이동 | 네트워크 내 다른 호스트로의 이동 | |
정찰 및 발견 | 네트워크 구조, 도메인 관계, 중요 자산 파악 | 네트워크 스캔(Nmap), Active Directory 쿼리(PowerShell), 공유 목록 열거 |
3.4. 데이터 유출 및 지속성 유지
3.4. 데이터 유출 및 지속성 유지
공격자는 목표 시스템 내에서 확보한 권한과 접근 경로를 이용해 민감 정보를 식별하고 외부로 유출합니다. 유출 대상은 지식 재산권, 기밀 설계도, 고객 데이터, 내부 통신문, 연구 자료 등 조직의 핵심 자산이 될 수 있습니다. 데이터 유출은 네트워크 트래픽에 섞여 정상 활동처럼 위장하거나, 암호화된 채널을 통해 소량씩 장기간에 걸쳐 이루어지는 경우가 많습니다. 이를 탐지하기 어렵게 만드는 주요 전략입니다.
지속성 유지는 공격자가 초기 침투 지점이 발견 및 차단되더라도 시스템에 다시 접근할 수 있도록 백도어를 설치하고 관리 권한을 공고히 하는 단계입니다. 일반적인 기법으로는 레지스트리 키 수정, 합법적인 시스템 도구 악용(리빙 오프 더 랜드), 정상 프로세스에 악성 코드 삽입(프로세스 홀로우잉), 그리고 원격 접속 트로이 목마(RAT) 설치 등이 있습니다.
공격 수명주기 내에서 이 단계는 종종 다음 표와 같은 다양한 도구와 기법을 동원합니다.
지속성 유지 기법 | 설명 | 탐지 난이도 |
|---|---|---|
스케줄된 태스크 생성 | 시스템 재시작 시마다 악성 코드를 실행하도록 태스크 스케준러를 조작합니다. | 중간 |
부트킷/루트킷 설치 | 운영체제 부팅 과정이나 커널 수준에서 악성 코드를 실행하여 일반 보안 소프트웨어의 탐지를 회피합니다. | 매우 높음 |
합법적 응용 프로그램 위장 | 정상 시스템 관리 도구(예: PsExec)나 소프트웨어 업데이트 메커니즘을 악용합니다. | 높음 |
웹셸 배포 | 웹 서버에 백도어 스크립트를 설치하여 웹 인터페이스를 통해 지속적으로 접근합니다. | 중간 |
이러한 지속성 메커니즘을 통해 APT 공격은 수개월에서 수년에 걸쳐 표적 조직 내부에 잠복하며 활동할 수 있습니다. 최종 목표인 데이터 유출이 완료된 후에도, 공격자는 차기 공격을 대비하거나 조직의 대응 상황을 모니터링하기 위해 접근 경로를 유지하는 경우가 많습니다.
4. 주요 APT 공격 기법
4. 주요 APT 공격 기법
APT 공격은 단일 기법보다는 여러 기법을 조합하고 지속적으로 진화하는 전술을 사용한다. 공격 수명주기의 각 단계에 맞춰 다양한 기술이 동원되며, 특히 초기 침투와 지속성 유지, 정보 수집에 중점을 둔다.
사회공학적 기법은 가장 흔한 초기 침투 벡터이다. 일반적인 피싱 이메일을 넘어, 특정 조직이나 개인을 정밀하게 타겟팅한 스피어 피싱이 빈번히 사용된다. 공격자는 위조된 이메일 첨부 파일(매크로가 포함된 문서 파일 등)이나 악성 링크를 통해 악성코드를 유포한다. 최근에는 이메일 외에도 소셜 미디어 메시지나 메신저를 이용한 공격도 증가하고 있다.
기술적 취약점을 이용한 공격에서는 제로데이 취약점 공격이 핵심이다. 이는 소프트웨어 제조사조차 인지하지 못한 취약점을 이용하므로, 기존 시그니처 기반 탐지로는 방어가 어렵다. 공격자는 또한 합법적인 시스템 관리 도구(라이브 오프 더 랜드)를 악용하여 탐지를 회피하기도 한다. 일단 시스템에 침투하면, 백도어를 설치하여 공격자가 원격으로 지속적으로 접근할 수 있는 통로를 만들고, 트로이 목마나 키로거 등을 통해 정보를 수집하며 내부 네트워크로 확산을 시도한다.
공격 기법 카테고리 | 주요 수단 | 목적 |
|---|---|---|
초기 침투 | 스피어 피싱, 워터링홀 공격[2], 제로데이 익스플로잇 | 표적 시스템에 최초로 악성코드를 주입하거나 공격자의 접근 권한을 획득한다. |
지속성 유지 | 백도어, 루트킷, 웹쉘, 예약 작업 변경 | 시스템 재시작 후에도 공격자의 접근 권한을 유지하고 탐지를 회피한다. |
내부 확산 & 정보 수집 | 네트워크 내에서 권한을 상승시키고 다른 시스템으로 이동하며 표적 데이터를 찾아 수집한다. |
4.1. 사회공학적 기법 (피싱, 스피어 피싱)
4.1. 사회공학적 기법 (피싱, 스피어 피싱)
사회공학적 기법은 APT 공격에서 초기 침투를 성공시키기 위해 가장 빈번하게 활용되는 수단이다. 이 기법은 기술적 취약점보다는 인간의 심리적 약점을 공략하여, 표적이 스스로 악성 행위를 수행하도록 유도한다. 피싱은 가장 일반적인 형태로, 합법적인 기관을 사칭한 이메일을 대량 발송하여 개인정보나 로그인 자격증명을 탈취하는 공격이다. 스피어 피싱은 피싱의 고도화된 형태로, 특정 개인이나 조직을 대상으로 맞춤형 정보를 활용해 훨씬 더 정교하게 공격을 수행한다.
스피어 피싱은 공격 대상에 대한 사전 조사를 바탕으로 진행된다. 공격자는 소셜 엔지니어링을 통해 표적의 직무, 관심사, 인간관계 등을 파악한 후, 신뢰할 수 있는 발신자(예: 동료, 상사, 파트너사)를 사칭하거나 관심을 끌 만한 주제(예: 업무 관련 문서, 회의 초대, 청구서)로 이메일을 작성한다. 첨부 파일이나 포함된 링크는 악성코드를 다운로드시키거나 자격증명을 입력하도록 유도하는 가짜 로그인 페이지로 연결된다. 이 과정에서 표적은 공격을 의심하지 않고 악성 코드를 실행하거나 중요한 정보를 입력하게 된다.
기법 | 대상 | 특징 | 주된 목적 |
|---|---|---|---|
피싱 | 불특정 다수 | 일반적 내용, 대량 발송 | 자격증명 탈취, 악성코드 유포 |
스피어 피싱 | 특정 개인/집단 | 맞춤형 내용, 정교한 사칭 | 초기 침투점 확보, 표적형 악성코드 설치 |
이러한 공격을 방어하기 위해서는 기술적 통제와 함께 지속적인 보안 인식 교육이 필수적이다. 기술적 측면에서는 이메일 보안 게이트웨이를 활용해 의심스러운 발신자나 첨부 파일을 필터링하고, 엔드포인트 탐지 및 대응 솔루션을 도입해 악성 행위를 탐지해야 한다. 그러나 궁극적으로는 구성원이 의심스러운 이메일의 징후(예: 긴급성을 조장, 링크 URL 확인, 예상치 못한 첨부 파일)를 식별하고 적절히 보고할 수 있도록 훈련시키는 것이 가장 효과적인 대응책이다.
4.2. 제로데이 취약점 공격
4.2. 제로데이 취약점 공격
제로데이 취약점은 소프트웨어 제조사나 대중에게 알려지지 않아 아직 패치가 이루어지지 않은 보안 취약점을 의미한다. APT 공격자는 이러한 취약점을 발견하고 악용하여 표적 시스템에 침투하는 데 사용한다. 제로데이 공격은 사전에 알려진 취약점에 대한 방어 조치가 존재하지 않기 때문에 탐지와 방어가 매우 어렵다. 공격자는 취약점을 비공개로 유지하며, 고가의 익스플로잇 키트를 개발하거나 암시장에서 구매하여 사용한다.
공격 수명주기에서 제로데이 공격은 주로 초기 침투 단계에서 활용된다. 공격자는 정찰을 통해 표적 조직이 사용하는 특정 소프트웨어(예: 오피스 제품군, PDF 리더, 브라우저 플러그인 등)를 파악한 후, 해당 소프트웨어의 제로데이 취약점을 악용한 악성 문서나 웹 페이지를 준비한다. 이 문서는 표적에게 이메일 첨부파일이나 링크 형태로 전달되어, 열람하는 순간 취약점을 통해 악성코드가 설치된다.
특징 | 설명 |
|---|---|
발견 시점 | 공격자가 제조사나 보안 커뮤니티보다 먼저 취약점을 보유함 |
방어 난이도 | 시그니처 기반 탐지로는 방어 불가, 행위 기반 탐지가 중요함 |
활용 단계 | 주로 APT 공격 수명주기의 초기 침투 단계에서 사용됨 |
수명 | 취약점이 공개되어 패치되기 전까지 효과적임 |
제로데이 공격의 위험성을 완화하기 위해서는 사전 예방적 조치가 필수적이다. 애플리케이션 화이트리싱을 통해 허용된 소프트웨어만 실행되도록 제한하거나, 샌드박싱 기술로 의심스러운 애플리케이션을 격리된 환경에서 실행하는 방법이 있다. 또한, 위협 인텔리전스를 통해 새로운 제로데이 공격 캠페인에 대한 정보를 신속히 획득하고, 네트워크와 엔드포인트에서의 비정상적인 행위를 탐지하는 행위 기반 탐지 시스템의 도입이 효과적인 대응 전략이 된다.
4.3. 악성코드 및 백도어 활용
4.3. 악성코드 및 백도어 활용
APT 공격에서 악성코드는 초기 침투부터 내부 확산, 데이터 유출, 지속성 유지에 이르기까지 공격 수명주기 전반에 걸쳐 핵심 도구로 활용된다. 일반적인 범용 악성코드와 달리, APT 공격에 사용되는 악성코드는 특정 표적을 염두에 두고 맞춤형으로 개발되거나 기존 코드를 변조하는 경우가 많다. 이는 탐지를 회피하고 장기간 표적 시스템 내에 잠복하기 위한 목적이 크다.
주요 악성코드 유형으로는 트로이 목마, 원격 접근 트로이, 키로거, 정보 유출 악성코드 등이 있다. 특히 백도어는 공격자가 합법적인 인증 절차를 우회하여 표적 시스템에 지속적으로 접근할 수 있도록 설계된 악성코드의 일종이다. 백도어가 설치되면 공격자는 암호나 기타 보안 조치 없이도 시스템을 원격으로 제어하고, 추가 악성코드를 다운로드하거나, 내부 네트워크로 이동할 수 있다.
APT 공격자는 악성코드와 백도어를 은밀하게 배포하고 실행하기 위해 다양한 기법을 사용한다. 합법적인 소프트웨어 업데이트 프로세스를 가장하거나, 정상적인 시스템 관리 도구를 악용하는 라이브 오프 더 랜드 기법이 대표적이다. 또한, 악성코드의 통신 채널은 암호화되거나 일반적인 웹 트래픽에 위장되어 네트워크 모니터링을 회피한다.
기법/특징 | 설명 | APT 공격에서의 역할 |
|---|---|---|
맞춤형 악성코드 | 특정 조직의 환경에 맞춰 제작된 악성코드 | 탐지 회피율이 높고, 표적에 대한 공격 효율성을 극대화함 |
백도어 설치 | 시스템에 비밀 통로를 생성하여 지속적 접근 보장 | 초기 침투 후에도 접속권을 유지하고, 추가 공격을 위한 교두보 역할 |
코드 난독화 및 패킹 | 악성코드의 실행 파일을 변형하여 시그니처 기반 탐지를 회피 | 보안 솔루션의 정적 분석을 무력화함 |
커맨드 앤 컨트롤 서버 | 악성코드가 명령을 받고 데이터를 전송하는 원격 서버 | 공격자가 피해 시스템을 원격 조종하고 탈취한 정보를 수집하는 중앙 허브 |
이러한 악성코드와 백도어는 단독으로 작동하기보다는 공격 체인의 한 단계를 이루며, 사회공학적 기법이나 제로데이 취약점을 통해 시스템에 침투한다. 일단 설치되면, 공격자는 이를 발판으로 네트워크 내부를 정찰하고, 권한을 상승시키며, 궁극적으로 가치 있는 데이터를 찾아 외부로 유출한다.
5. 대표적인 APT 그룹 사례
5. 대표적인 APT 그룹 사례
APT28은 'Fancy Bear', 'Sofacy', 'Strontium' 등 다양한 이름으로 알려진 러시아의 군사정보국(GRU)과 연관된 것으로 추정되는 그룹이다. 주로 정부 기관, 군사 조직, 언론, 정치 단체 등을 표적으로 삼으며, 정치적 목적을 가진 사이버 간첩 활동과 영향력 행사에 주력한다. 2016년 미국 민주당 전국위원회 해킹 사건과 2017년 프랑스 대통령 선거 관련 해킹 시도로 유명해졌다. 이 그룹은 주로 스피어 피싱 이메일과 맞춤형 악성코드를 사용하여 표적에 침투한다.
APT29는 'Cozy Bear', 'The Dukes', 'Yttrium'으로도 불리며, 러시아 대외정보국(SVR) 소속으로 여겨진다. APT28보다 더 은밀하고 장기간에 걸친 공격을 수행하는 것으로 알려져 있다. 주로 외교, 정부, 연구 기관, 백신 개발사 등을 표적으로 삼아 정보 수집에 중점을 둔다. 2020년 솔라윈즈 공급망 공격의 배후로 지목되었으며, 제로데이 취약점과 합법적인 시스템 관리 도구를 악용하는 기법을 자주 사용한다.
Lazarus Group은 북한 정부와 연관된 가장 잘 알려진 APT 그룹이다. 주로 금융 기관을 표적으로 한 대규모 금전 탈취와 사이버 파괴 활동, 산업 기밀 탈취에 관여한다. 2014년 소니 픽처스 해킹, 2016년 방글라데시 중앙은장 거래소 해킹, 2017년 와나크라이 랜섬웨어 확산 사건 등에 관여한 것으로 알려져 있다. 이 그룹의 공격 동기는 주로 경제적 이득과 정치적 메시지 전달에 있다.
그룹 명 (별칭) | 추정 국가 배경 | 주요 표적 및 목적 | 대표 공격 사례 |
|---|---|---|---|
APT28 (Fancy Bear) | 정부, 군사, 정치 조직 / 정보 수집, 정치적 영향력 행사 | 2016년 미국 민주당 전국위원회 해킹 | |
APT29 (Cozy Bear) | 외교, 정부, 연구 기관 / 장기간 정보 수집 | 2020년 솔라윈즈 공급망 공격 | |
금융 기관, 정부, 엔터테인먼트 / 금전 탈취, 사이버 파괴 | 2014년 소니 픽처스 해킹, 2017년 와나크라이 사태 |
이들 그룹은 각각 고유한 전술, 기술, 절차(TTP)를 보유하고 있으며, 지속적으로 진화하는 위협으로 평가받는다. 그들의 활동은 국가 차원의 지원을 받는 APT의 정치적, 경제적 동기를 명확히 보여준다.
5.1. APT28 (Fancy Bear)
5.1. APT28 (Fancy Bear)
APT28은 러시아 군사 정보국 GRU와 연관된 것으로 알려진 APT 그룹이다. "Fancy Bear", "Sofacy", "Pawn Storm", "Strontium" 등 다양한 이름으로 불린다. 2000년대 중반부터 활동이 관찰되었으며, 주로 정부 기관, 군사 조직, 외교 단체, 언론 매체, 국방 산업체 등을 표적으로 삼는다.
이 그룹의 공격은 정치적, 군사적 목적을 띠는 경우가 많다. 2016년 미국 대통령 선거 당시 민주당 전국위원회 해킹 사건에 관여한 것으로 미국 정보 당국에 의해 지목되었다[3]. 또한 독일 연방의회, 프랑스 대통령 선거, 세계반도핑기구(WADA), 유럽 안보 협력 기구(OSCE) 등을 대상으로 한 공격도 수행한 것으로 보고되었다.
APT28은 기술적으로 정교한 공격 기법을 사용한다. 주로 표적형 피싱(스피어 피싱) 이메일을 초기 침투 수단으로 활용하며, 제로데이 취약점과 함께 Microsoft Office 문서나 PDF 파일에 삽입된 악성 매크로를 자주 이용한다. 한번 시스템에 침투하면, X-Agent, X-Tunnel, GAMEFISH와 같은 맞춤형 악성코드와 백도어를 설치하여 장기간 잠복하며 정보를 수집하고 유출한다.
5.2. APT29 (Cozy Bear)
5.2. APT29 (Cozy Bear)
APT29는 러시아 정보 기관 SVR과 연관된 것으로 널리 알려진 APT 그룹이다. 'Cozy Bear', 'The Dukes', 'Yttrium' 등 다양한 별칭으로 불린다. 이 그룹은 2008년경부터 활동한 것으로 추정되며, 주로 정부 기관, 외교 단체, 연구 기관, NGO 및 국제 기구를 표적으로 삼는 것으로 알려져 있다.
APT29의 공격은 정교한 스피어 피싱 이메일과 맞춤형 악성코드를 특징으로 한다. 초기 침투 수단으로는 합법적으로 보이는 문서 파일에 악성 매크로를 삽입하거나, 제로데이 취약점을 활용하는 경우가 많다. 일단 시스템에 침투하면, 백도어를 설치하고 내부 네트워크에서 신중하게 이동하며 권한 상승을 통해 장기간 잠복하며 표적 정보를 수집한다. 이 그룹은 특히 SolarWinds 공급망 공격(2020년)에서 미국 정부 기관 및 기업을 광범위하게 표적으로 삼은 주체로 지목되었다[4].
이 그룹의 운영 방식은 은밀함과 지속성에 중점을 둔다. 일반적인 활동 패턴은 다음과 같다.
활동 단계 | 주요 기법 및 특징 |
|---|---|
정찰 | 표적 조직의 직원 프로필을 깊이 있게 조사하여 신뢰할 수 있는 발신자를 사칭함. |
초기 침투 | 맞춤형 스피어 피싱 이메일, 합법적 소프트웨어 업데이트 경로 악용(공급망 공격). |
지속성 유지 | 메모리 상주형 악성코드, 합법적 시스템 관리 도구 악용(Living-off-the-Land). |
데이터 유출 | 암호화된 채널을 통해 소량의 데이터를 장기간에 걸쳐 점진적으로 외부로 전송함. |
APT29는 전통적인 맬웨어보다 운영 체제의 기본 도구를 악용하는 '파일리스' 기법을 선호하며, 탐지를 회피하기 위해 공격 도구와 인프라를 빈번히 변경한다. 이들의 활동은 국가 차원의 정보 수집 및 지속적 정찰 목적과 연관되어 있다고 평가받는다.
5.3. Lazarus Group
5.3. Lazarus Group
Lazarus Group은 북한 정부의 지원을 받는 것으로 널리 알려진 APT 그룹이다. 주로 금융 기관을 표적으로 한 사이버 금융 사기와 암호화폐 거래소 해킹, 그리고 정치적 목적의 파괴적 공격으로 악명이 높다. 이 그룹의 활동은 2000년대 중반부터 추적되었으며, 미국 연방수사국과 미국 재무부를 비롯한 여러 국가 기관들이 북한과의 연관성을 공식적으로 지목했다.
주요 공격 사례로는 2014년 소니 픽처스 엔터테인먼트 해킹[5], 2016년 방글라데시 중앙은행의 뉴욕 연방준비은행 계좌에서 8,100만 달러를 탈취하려 한 사건, 그리고 2017년 전 세계를 강타한 워너크라이 랜섬웨어 공격이 있다. 특히 워너크라이 공격은 악성코드를 통해 시스템을 암호화하고 몸값을 요구하는 방식으로, Lazarus Group이 개발한 해킹 도구와의 연관성이 확인되었다.
이 그룹의 공격 동기는 주로 경제적 이득과 정치적 목적이 혼합되어 있다. 최근 몇 년 간은 암호화폐 거래소와 관련 기업에 대한 표적 공격을 지속적으로 수행하며 대규모 자금을 탈취해 왔다. 2022년에는 론진 브리지 해킹 사건을 통해 약 6억 2,500만 달러 상당의 암호화폐를 훔친 것으로 보고되었다[6].
Lazarus Group은 정교한 사회공학 기법과 맞춤형 악성코드, 제로데이 취약점 공격을 자주 활용한다. 공격 수명주기 전반에 걸쳐 은밀성을 유지하며, 침투 후 내부 네트워크에서 장기간 활동하며 정보를 수집하고 최종 목표를 달성하는 전형적인 APT의 특징을 보인다. 이들의 활동은 북한의 핵 및 미사일 프로그램 자금 조달 수단으로 의심받고 있어 국제사회의 지속적인 감시와 대응 대상이 되고 있다.
6. APT 탐지 및 대응 전략
6. APT 탐지 및 대응 전략
APT 탐지는 일반적인 맬웨어나 단순 공격과 달리 장기적이고 은밀하게 진행되므로 전통적인 시그니처 기반 탐지만으로는 한계가 있다. 따라서 다층적이고 사전 예방적인 접근이 필요하다.
행위 기반 탐지는 정상적인 활동 패턴에서 벗어난 이상 행위를 식별하는 데 초점을 맞춘다. 예를 들어, 평소 접속하지 않는 시간대의 대량 데이터 전송, 권한 없는 계정의 권한 상승 시도, 내부 네트워크에서 외부 C2 서버로의 비정상적인 통신 등을 모니터링한다. 이를 위해 UEBA나 네트워크 트래픽 분석 도구가 활용된다. 위협 인텔리전스는 외부에서 수집된 APT 그룹의 전술, 기술, 절차 정보를 사전에 분석하여 조직의 방어 체계에 적용하는 것을 말한다. IoC와 공격자의 TTP를 지속적으로 업데이트하면 알려진 공격 패턴을 차단하고 새로운 위협에 대비할 수 있다.
사고 발생 시 신속한 대응을 위한 체계적인 절차가 필수적이다. 일반적인 사고 대응 및 복구 절차는 다음 단계를 포함한다.
단계 | 주요 활동 |
|---|---|
준비 | 대응 팀 구성, 절차 수립, 도구 구비 |
탐지 및 분석 | 사고 확인, 영향 범위 및 공격 벡터 분석 |
차단 및 박멸 | 악성 프로세스 종료, 침해된 시스템 격리, 백도어 제거 |
복구 | 정상 백업으로 시스템 복원, 취약점 패치 |
사후 활동 | 사고 보고서 작성, 대응 과정 평가 및 방어 체계 개선 |
이 과정에서 포렌식 분석을 통해 공격 경로와 유출된 데이터를 규명하고, 법적 대응을 위한 증거를 보존하는 것도 중요하다. 효과적인 대응을 위해서는 정기적인 모의 침투 테스트와 대응 훈련을 통해 절차를 숙달하고 체계의 취약점을 발견해야 한다.
6.1. 행위 기반 탐지 (Behavioral Detection)
6.1. 행위 기반 탐지 (Behavioral Detection)
행위 기반 탐지는 악성코드의 정적 특징(시그니처)이 아닌, 시스템이나 네트워크 상에서 관찰되는 활동과 패턴을 분석하여 위협을 식별하는 접근법이다. 이 방법은 알려지지 않은 제로데이 공격이나 정교하게 위장된 APT 공격을 탐지하는 데 효과적이다. 시스템 호출, 프로세스 생성, 네트워크 연결, 파일 접근 패턴 등과 같은 정상적인 활동의 기준선을 먼저 수립한 후, 이 기준에서 벗어나는 이상 행위를 실시간으로 탐지한다.
탐지 모델은 주로 기계 학습 알고리즘을 활용하여 구축된다. 예를 들어, 사용자가 평소에는 접근하지 않는 중요 시스템 파일을 갑자기 대량으로 읽거나, 내부 네트워크에서 외부 C2 서버로의 비정상적인 통신이 발생하는 경우 이를 의심 행위로 판단한다. 또한, 권한 상승 시도, 로그인 실패 반복, 데이터 암호화 행위(랜섬웨어 징후) 등 연속된 이벤트를 연결하여 공격 수명주기의 특정 단계를 식별할 수 있다.
탐지 유형 | 분석 대상 예시 | 탐지 가능한 공격 단계 |
|---|---|---|
엔드포인트 행위 분석 | 프로세스 실행 트리, 레지스트리 변경, 메모리 접근 패턴 | 초기 침투, 권한 상승, 내부 확산 |
네트워크 트래픽 분석 | 프로토콜 이상, 비정상적 데이터 흐름, 외부 도메인 연결 | 정찰, C2 통신, 데이터 유출 |
사용자 행위 분석(UEBA) | 로그인 시간/위치, 파일 접근 패턴, 권한 사용 내역 | 계정 탈취, 내부 위협, 데이터 유출 |
이 방식의 장점은 시그니처 기반 탐지가 놓칠 수 있는 새로운 위협을 포착할 수 있다는 점이다. 그러나 높은 수준의 정확한 기준선 설정과 대량의 로그 데이터 처리, 그리고 기계 학습 모델의 지속적인 학습과 조정이 필요하다. 또한 정상적인 활동의 변동(예: 신규 소프트웨어 도입)으로 인한 오탐지(False Positive)를 최소화하는 것이 중요한 과제이다. 효과적인 운영을 위해서는 위협 인텔리전스와 연계하여 알려진 공격자의 TTPs를 행위 패턴으로 변환하여 탐지 규칙에 반영하기도 한다.
6.2. 위협 인텔리전스 활용
6.2. 위협 인텔리전스 활용
위협 인텔리전스는 APT 공격을 탐지하고 대응하는 데 있어 핵심적인 역할을 한다. 이는 단순한 위협 데이터의 수집을 넘어, 공격자의 동기, 능력, 전술, 기법 및 절차를 분석하여 조직에 맞는 실행 가능한 정보로 전환하는 과정이다. 효과적인 위협 인텔리전스는 사전에 공격을 예측하고 차단하는 데 기여하며, 사후 대응 시에도 공격의 범위와 영향을 신속히 파악하는 데 도움을 준다.
위협 인텔리전스는 일반적으로 전략적, 작전적, 전술적 수준으로 구분된다. 전략적 인텔리전스는 장기적인 위협 트렌드와 공격 그룹의 배경을 분석하여 조직의 보안 전략 수립에 활용된다. 작전적 인텔리전스는 특정 APT 그룹의 공격 캠페인, 사용 도구, 인프라 등에 초점을 맞춘다. 가장 실질적인 것은 전술적 인텔리전스로, 공격에 사용된 악성코드의 해시 값, 악성 도메인, IP 주소, 파일 경로 등 즉시 탐지 및 차단에 사용할 수 있는 지표를 제공한다.
조직은 외부 위협 인텔리전스 공급자로부터 정보를 구독하거나, 자체 사고 대응 과정에서 수집한 데이터를 기반으로 내부 인텔리전스를 구축한다. 효과적인 활용을 위해서는 이 정보들이 SIEM 시스템이나 차세대 방화벽, EDR 솔루션 등에 자동으로 연동되어 실시간 탐지 규칙으로 작동해야 한다. 예를 들어, 특정 APT 그룹이 새롭게 사용하기 시작한 C2 서버의 IP 주소가 인텔리전스 피드로 수신되면, 방화벽 정책에 즉시 차단 규칙이 추가된다.
인텔리전스 수준 | 초점 | 활용 예시 |
|---|---|---|
전략적 (Strategic) | 장기적 위협 트렌드, 공격자 동기 | 보안 예산 및 정책 수립, 리스크 평가 |
작전적 (Operational) | 특정 공격 캠페인, APT 그룹 활동 | 사고 대응 팀의 조사 방향 설정, 공격자 프로파일링 |
전술적 (Tactical) | 공격 지표(IoC), 공격 기법(ToT) | 실시간 탐지/차단 규칙 생성, 보안 장비 자동 업데이트 |
이러한 체계적인 위협 인텔리전스 활용은 APT 공격의 긴 수명주기 동안 지속적으로 변화하는 공격자의 전술을 따라잡고, 알려진 지표뿐만 아니라 새로운 변종 공격을 사전에 식별하는 데 필수적이다.
6.3. 사고 대응 및 복구 절차
6.3. 사고 대응 및 복구 절차
사고 대응 및 복구 절차는 APT 공격이 탐지된 후 피해를 최소화하고 정상적인 운영을 신속히 복원하기 위한 체계적인 접근법이다. 이 절차는 일반적으로 준비, 탐지 및 분석, 봉쇄 및 박멸, 복구, 사후 활동의 단계로 구성된다.
첫 번째 단계인 준비 단계에서는 사고 대응 계획을 사전에 수립하고 대응팀을 구성하며, 필요한 도구와 절차를 마련한다. 탐지 및 분석 단계에서는 행위 기반 탐지 시스템이나 위협 인텔리전스를 통해 이상 징후를 확인하고, 공격의 범위, 영향을 받은 자산, 사용된 공격 기법 등을 신속히 분석하여 사고의 심각도를 평가한다. 이후 봉쇄 및 박멸 단계에서는 감염된 시스템을 네트워크에서 격리하고, 악성코드를 제거하며, 공격자가 설치한 백도어와 지속성 메커니즘을 찾아 무력화한다.
복구 단계에서는 깨끗한 백업으로 시스템을 복원하거나 패치를 적용하여 운영을 재개한다. 마지막 사후 활동 단계에서는 공격의 근본 원인을 분석하고 대응 과정을 평가하여 사고 대응 계획과 보안 체계를 개선한다. 이 과정의 각 단계는 아래 표와 같이 요약할 수 있다.
단계 | 주요 활동 |
|---|---|
준비 | 사고 대응 계획 수립, 팀 구성, 도구 및 절차 마련 |
탐지 및 분석 | 이상 징후 확인, 공격 범위 및 기법 분석, 심각도 평가 |
봉쇄 및 박멸 | 감염 시스템 격리, 악성코드 제거, 백도어 탐지 및 제거 |
복구 | 시스템 복원 또는 재구성, 운영 정상화 |
사후 활동 | 근본 원인 분석, 대응 과정 평가, 보안 체계 개선 |
효과적인 복구를 위해서는 정기적인 백업이 필수적이며, 백업 데이터의 무결성과 오프라인 저장이 보장되어야 한다. 또한, 복구 후에도 시스템에 대한 지속적인 모니터링을 실시하여 공격이 완전히 종료되었는지 확인한다. 사후 활동 단계에서 작성된 사고 보고서와 교훈은 향후 유사한 공격을 방어하는 데 중요한 자산이 된다.
7. APT 방어를 위한 기술적 대책
7. APT 방어를 위한 기술적 대책
APT 방어는 단일 솔루션보다는 다층적 방어 체계를 구축하는 것이 효과적이다. 핵심은 공격의 수명주기 각 단계에서 탐지와 차단을 가능하게 하는 기술적 통합이다.
차세대 방화벽은 전통적인 포트 및 프로토콜 기반 필터링을 넘어, 애플리케이션 계층의 위협을 식별하고 차단한다. EDR 솔루션은 엔드포인트에서의 이상 행위를 실시간으로 모니터링하고 기록하여, 악성코드의 실행이나 권한 상승 시도를 탐지한다. 이 두 기술은 네트워크와 엔드포인트에서 발생하는 위협에 대한 가시성을 제공한다.
네트워크를 논리적 또는 물리적으로 분할하는 네트워크 분할은 공격자가 초기 침투 후 내부로 확산하는 것을 저지하는 핵심 전략이다. 예를 들어, 재무 데이터가 저장된 서버 구간은 연구 개발 구간과 완전히 격리시킨다. 이는 최소 권한 원칙과 결합되어, 사용자와 시스템이 작업 수행에 필요한 최소한의 권한만을 갖도록 한다. 이를 통해 침해 사고 발생 시 피해 범위를 국소화할 수 있다.
대책 범주 | 주요 기술/원칙 | 주요 목적 |
|---|---|---|
네트워크 보안 | 차세대 방화벽, 네트워크 분할 | 악성 트래픽 차단 및 공격 경로 차단 |
엔드포인트 보안 | EDR, 애플리케이션 화이트리싱, 패치 관리 | 초기 침투 및 실행 방지, 이상 행위 탐지 |
접근 통제 | 최소 권한 원칙, 다중 인증 | 내부 확산 및 데이터 접근 제한 |
엔드포인트 보안 강화를 위해 애플리케이션 화이트리싱을 도입하면 허용된 프로그램만 실행되도록 하여 알려지지 않은 악성코드의 실행을 근본적으로 방지한다. 또한, 운영체제와 응용 프로그램에 대한 지속적이고 신속한 패치 관리는 공격자가 알려진 취약점을 악용하는 것을 막는다. 이러한 기술적 대책들은 상호 보완적으로 작동하여, APT 공격 수명주기 전반에 걸쳐 방어 벽을 구축한다.
7.1. 차세대 방화벽 및 EDR 솔루션
7.1. 차세대 방화벽 및 EDR 솔루션
차세대 방화벽(Next-Generation Firewall, NGFW)은 전통적인 방화벽의 패킷 필터링 및 상태 기반 검사 기능에 애플리케이션 인식, 침입 방지 시스템(IPS), 그리고 위협 인텔리전스 연동 등의 고급 기능을 통합한 보안 장비이다. 이는 APT 공격이 특정 애플리케이션을 악용하거나 암호화된 트래픽을 통해 이루어지는 경우를 효과적으로 탐지하고 차단하는 데 핵심적인 역할을 한다. NGFW는 네트워크 경계에서 애플리케이션 계층까지의 가시성을 제공하여 정상적인 트래픽 속에 숨은 이상 행위를 식별할 수 있다.
엔드포인트 탐지 및 대응(Endpoint Detection and Response, EDR) 솔루션은 APT 방어에서 네트워크 중심 보안을 보완하는 핵심 기술이다. EDR은 서버나 사용자 PC와 같은 엔드포인트에 에이전트를 설치하여 프로세스 실행, 레지스트리 변경, 네트워크 연결 시도 등 시스템의 모든 활동을 지속적으로 모니터링하고 기록한다. 이를 통해 공격자가 초기 침투 후 시스템 내부에서 수행하는 권한 상승, 측면 이동, 데이터 수집 등의 행위를 실시간으로 분석하고 차단할 수 있다. EDR의 강점은 사전 예방뿐만 아니라 공격 발생 후의 신속한 조사와 대응에 있다.
NGFW와 EDR은 상호 보완적으로 작동하여 APT 공격의 수명주기 전반에 걸쳐 방어 계층을 형성한다. NGFW는 네트워크 경계에서의 초기 침투와 명령 제어(C2) 서버와의 통신을 차단하는 데 효과적이며, EDR은 이미 침투한 공격자가 내부에서 수행하는 세부적인 악성 행위를 탐지하고 격리한다. 현대의 통합 보안 플랫폼은 이 두 기술을 연동하여, NGFW에서 발견된 위협 신호를 EDR 시스템과 공유하고, EDR에서 탐지된 이상 엔드포인트의 네트워크 트래픽을 NGFW에서 차단하는 등의 협업 방어가 가능하다.
솔루션 | 주요 작동 영역 | 핵심 기능 | APT 방어에서의 역할 |
|---|---|---|---|
차세대 방화벽 (NGFW) | 네트워크 경계/세그먼트 | 애플리케이션 제어, 침입 방지(IPS), 위협 인텔리전스 기반 필터링 | 초기 침투 및 C2 통신 차단, 네트워크 내 위협 가시성 확보 |
엔드포인트 탐지 및 대응 (EDR) | 개별 호스트(엔드포인트) | 프로세스 모니터링, 행위 분석, 사고 기록 및 조사, 대응 자동화 | 내부 침해 후 공격자 활동 탐지 및 차단, 사고 조사 및 복구 지원 |
7.2. 네트워크 분할 및 최소 권한 원칙
7.2. 네트워크 분할 및 최소 권한 원칙
네트워크 분할은 APT 공격자가 일단 내부에 침투하더라도 네트워크 전체를 자유롭게 이동하는 것을 방지하기 위한 핵심 전략이다. 이는 단일 평면 네트워크에서 공격자가 한 번 침투하면 모든 시스템에 접근할 수 있는 위험을 줄이기 위해 설계된다. 네트워크를 논리적 또는 물리적으로 분할하여 각 세그먼트 간의 트래픽을 엄격히 통제한다. 예를 들어, 재무 데이터베이스 서버가 위치한 세그먼트, 일반 사용자 PC가 위치한 세그먼트, 그리고 외부 서비스를 제공하는 DMZ 세그먼트를 분리하고, 이들 사이의 통신은 반드시 필요하고 승인된 경우에만 허용하는 정책을 적용한다.
이 분할 전략의 효과를 극대화하기 위해 반드시 병행되어야 하는 원칙이 최소 권한 원칙이다. 이 원칙은 사용자, 애플리케이션, 시스템 프로세스가 자신의 임무를 수행하는 데 필요한 최소한의 권한만을 부여받아야 함을 의미한다. 예를 들어, 마케팅 부서 직원의 사용자 계정이 인사 기록이 저장된 서버에 접근할 필요는 없다. 권한이 과도하게 부여된 계정은 공격자가 이를 탈취했을 때 네트워크 분할의 장벽을 쉽게 우회하고 광범위한 확산을 이루는 데 이용될 수 있다.
이 두 전략을 통합적으로 적용하면 공격 표면을 크게 축소할 수 있다. 네트워크 분할은 공격자의 수평적 이동을 차단하는 물리적/논리적 장벽을 제공하고, 최소 권한 원칙은 공격자가 탈취한 자격증명이나 프로세스 권한으로 할 수 있는 행위를 제한한다. 이는 정찰 및 정보 수집 단계에서 목표를 찾기 어렵게 만들고, 권한 상승 및 내부 확산 단계에서의 공격 활동을 현저히 늦추거나 저지한다. 결과적으로 방어자에게 이상 징후를 탐지하고 대응할 수 있는 귀중한 시간을 제공한다.
구현을 위한 일반적인 접근법은 다음과 같은 계층적 모델을 따를 수 있다.
7.3. 엔드포인트 보안 강화
7.3. 엔드포인트 보안 강화
엔드포인트는 APT 공격의 주요 표적이자 최종 목적지가 되는 경우가 많다. 따라서 엔드포인트 보안을 강화하는 것은 공격 수명주기 초기에 위협을 차단하거나, 침해 후 신속하게 탐지하여 피해를 최소화하는 데 핵심적인 역할을 한다. 전통적인 안티바이러스 소프트웨어는 서명 기반 탐지에 의존하여 새로운 변종이나 맞춤형 악성코드를 탐지하는 데 한계가 있으므로, 보다 진화된 접근 방식이 필요하다.
엔드포인트 탐지 및 대응 솔루션은 엔드포인트 보안의 핵심 요소로 자리 잡았다. EDR은 단순히 악성 파일을 차단하는 것을 넘어, 엔드포인트에서 발생하는 프로세스 실행, 네트워크 연결, 레지스트리 변경 등 다양한 이벤트와 행위를 지속적으로 모니터링하고 기록한다. 이를 통해 의심스러운 행위 패턴을 식별하고, 공격 체인의 연관성을 분석하여 조사와 대응을 가능하게 한다. 많은 EDR 솔루션은 머신 러닝과 행위 분석 기술을 결합하여 알려지지 않은 위협을 사전에 탐지하는 능력을 갖추고 있다.
응용 프로그램 제어 및 최소 권한 원칙의 엄격한 적용도 중요하다. 사용자 계정에 불필요한 관리자 권한을 부여하지 않고, 업무에 필요한 응용 프로그램만 허용하는 화이트리스트 방식을 적용하면, 권한 상승 공격이나 무단 소프트웨어 실행을 효과적으로 차단할 수 있다. 또한 디스크 암호화와 모바일 장치 관리 솔루션을 통해 노트북이나 모바일 기기 분실 시 데이터 유출 위험을 줄일 수 있다.
주요 기술적 대책은 다음 표와 같이 정리할 수 있다.
대책 분류 | 주요 기술/솔루션 | 주요 목적 |
|---|---|---|
탐지 및 대응 | 이상 행위 기반 탐지, 공격 체인 분석, 사고 대응 지원 | |
방어 및 차단 | 응용 프로그램 제어(화이트리스트), 차세대 안티바이러스, 호스트 기반 방화벽 | 무단 프로그램 실행 차단, 알려진/알려지지 않은 악성코드 차단 |
관리 및 통제 | 취약점 제거, 권한 남용 방지, 물리적 분실 시 데이터 보호 |
이러한 조치들은 단독으로 운영되기보다 통합 보안 플랫폼을 통해 상호 연계되어야 한다. 엔드포인트에서 수집된 위협 데이터는 위협 인텔리전스 플랫폼이나 보안 정보 및 이벤트 관리 시스템과 연동되어 전체적인 보안 가시성을 높이고 대응 속도를 가속화한다.
8. 관련 보안 표준 및 프레임워크
8. 관련 보안 표준 및 프레임워크
APT 방어를 위한 체계적인 접근을 지원하기 위해 여러 국제 및 산업별 보안 표준과 프레임워크가 제정되어 활용된다. 이러한 표준은 조직이 위험 관리 체계를 수립하고, 보안 통제를 구현하며, 지속적인 모니터링과 개선을 수행하는 데 필요한 지침과 모범 사례를 제공한다.
대표적인 국제 표준으로는 ISO/IEC 27001이 있다. 이는 정보 보안 관리 시스템(ISMS)의 요구사항을 규정한 표준으로, 조직의 자산을 보호하기 위한 정책, 절차, 기술적 통제의 수립과 운영, 검토, 유지를 요구한다. 특히 APT와 같은 지능형 위협에 대응하기 위해 강화된 사고 대응 및 비즈니스 연속성 계획 수립을 포함한다. 미국 국립표준기술연구소(NIST)에서 개발한 NIST 사이버보안 프레임워크(CSF)는 핵심 기능(식별, 보호, 탐지, 대응, 복구)을 기반으로 조직이 사이버 보안 위험을 관리할 수 있는 유연한 체계를 제공하며, 민간 부문에서 널리 채택되고 있다.
특정 산업이나 규제 환경에서는 전문화된 프레임워크가 적용된다. 금융 분야에서는 금융서비스분야 사이버보안 강화를 위한 거버넌스 체계가 있으며, 에너지 등의 국가 중요 인프라를 보호하기 위해 NIST SP 800-82와 같은 산업 제어 시스템(ICS) 보안 가이드가 존재한다. 또한, MITRE ATT&CK 프레임워크는 APT를 포함한 공격자의 전술과 기법을 체계적으로 분류한 지식 베이스로, 위협 모델링, 탐지 규칙 개발, 위협 인텔리전스 분석 등 실제 방어 활동에 직접 활용된다.
9. 향후 전망 및 발전 동향
9. 향후 전망 및 발전 동향
APT 공격은 기술과 전술의 진화를 거듭하며 지속적으로 발전하고 있다. 특히 인공지능과 머신러닝 기술이 공격자와 방어자 양측에 활용되면서 경쟁이 심화되는 양상을 보인다. 공격 측면에서는 AI를 활용해 피싱 이메일의 내용을 개인화하거나, 탐지를 회피하는 악성코드를 생성하는 등 공격의 정교함과 효율성을 높이는 데 적용된다. 방어 측면에서는 대량의 네트워크 및 엔드포인트 데이터를 분석하여 이상 행위를 실시간으로 탐지하는 AI 기반 보안 솔루션의 중요성이 커지고 있다.
사물인터넷과 OT 환경이 주요 표적으로 부상하고 있다. 기존의 IT 시스템뿐만 아니라 산업 제어 시스템, 의료 장비, 스마트 시티 인프라 등 물리적 세계와 직결된 표적에 대한 공격이 증가할 전망이다. 이는 단순한 정보 유출을 넘어 사회 기반 시설의 마비나 안전 사고로 이어질 수 있어 훨씬 더 큰 위험을 내포한다. 이에 따라 IT 보안과 OT 보안의 통합된 접근, 즉 IT/OT 융합 보안의 필요성이 절실해지고 있다.
공급망 공격의 위험성도 지속적으로 강조되고 있다. 소프트웨어 개발 라이브러리나 오픈소스 컴포넌트, 타사 서비스 공급자를 통해 간접적으로 표적 조직을 침투하는 방식이다. 이는 방어의 경계를 모호하게 만들고, 한 번의 성공적인 공격이 광범위한 피해를 양산할 수 있게 한다. 따라서 조직은 자체 인프라뿐만 아니라 공급망의 보안 상태까지 관리하고 검증해야 하는 책임을 지게 되었다.
발전 동향 | 주요 내용 | 관련 기술/개념 |
|---|---|---|
기술 진화 | AI/ML을 활용한 공격 정교화 및 자동화, AI 기반 방어 체계 강화 | |
표적 확대 | ||
공격 경로 다변화 | 직접 공격보다 소프트웨어 공급망, 타사 서비스를 통한 간접 공격 증가 | |
방어 패러다임 전환 | 사후 대응에서 지속적인 모니터링과 사전 예방 중심의 능동적 방어로 전환 |
결국, APT에 대한 방어는 단일 기술에 의존하기보다는 제로 트러스트 아키텍처의 채택, 지속적인 위협 헌팅, 그리고 국제적인 위협 인텔리전스 공유를 통한 협력이 핵심이 될 것이다. 공격 수명주기의 초기 단계에서 위협을 차단하는 능동적 방어 체계로의 패러다임 전환이 지속될 전망이다.
