APT 공격과 사회공학기법에 관련 설명

Posted by 미니송
2017.07.19 12:01 IT/정보보안



APT 공격


APT 공격은 Advanced Persistant Threat으로 문자 그대로 해석하면 지속적 지능 공격입니다. 보안에 대한 관심이 높아지고 있고 APT 공격은 악랄한 기법으로 소문나 있습니다.


저도 APT공격을 들어본지는 얼마 되지 않았지만 많은 기업들이 APT공격으로 회사의 보안기밀을 유출하고 많은 돈 뿐만 아니라 신뢰마저 잃고 있습니다. 우리나라는 대표적으로 인터파크 해킹이 있었습니다. 고객 데이터베이스 서버가 해킹 당해 고객 1030만명의 개인정보가 유출되었습니다. 이름, 아이디, 주소, 전화번호 등 개인정보가 유출되었습니다. 비트코인 30억원을 요구한 것으로 알려져 있으며 그 때문에 신고했다고 하고 있습니다. 이 또한 APT공격으로 정보가 유출 되었으며 직원 PC 한 대가 감염되었고 오랜 기간 잠복 후 데이터베이스 서버까지 장악할 수 있었습니다.


정의

APT 공격은 해커가 다양한 보안 위협을 만들어 특정 기업이나 조직의 네트워크에 지속적으로 가하는 공격을 뜻합니다. 지능형 지속 공격이라 하며 특정 조직 내부 직원의 PC를 장악한 뒤 그 PC를 통해 내부 서버나 데이터베이스에 접근한 뒤 기밀정보 등을 빼오거나 파괴하는 것이 APT의 공격 수법으로, 불특정 다수보다는 특정 기업이나 조직을 대상으로 합니다. APT의 특징은 지속성과 은밀함입니다.


APT의 공격 기간은 평균 1년으로, 길게는 5년 가까이 공격을 하는 경우도 있어 APT의 공격을 당했는지는 확인하기 어려운 경우도 적지 않습니다. 물론 짧으면 3개월 이하로도 가능하지만 APT 공격을 감행하는 해커는 한 곳의 목표를 정해놓고 뚫릴 때까지 공격합니다. 공격의 확인이 어려운 이유는 감염된지도 모르게 RAT(Remote administrator tool)과 같은 악성코드를 심어놓고 점점 옆으로 옮겨가게 됩니다. Network Lateral Movement라고 하며 우리말로는 내부전파라고 해석하면 됩니다. APT공격은 한 개의 PC만 감염되어도 지속적 공격 감행으로 옆의 PC까지 그리고 중요정보까지 전부 가져갈 수 있는 공격기법입니다.


APT 공격자는 목표 기업의 시스템에 침입하기 위해 개인 PC에서 기업 시스템까지 모든 부분을 노리며 사용자를 끈질기게 공략합니다. 2013 3 20일 주요 방송사와 금융사의 전산망을 마비시킨 사건이 APT 공격으로 밝혀지면서 주목을 받았지만, APT 공격은 어제오늘의 일이 아닙니다. APT 공격으로 피해를 입는 경우는 세계적으로도 적지 않습니다.


미국 『뉴욕타임스』의 정보 유출, 중동 지역 국가기관을 상대로 다년간 정보 유출을 시도한플레임악성코드, 소니와 해커들 간의 대결, 주요 IT 기업의 기밀 탈취 공격인오퍼레이션 오로라’, 이란 원전 시스템을 노린 스턱스넷 악성코드 등이 이에 해당합니다. 전문가들은 APT 공격을 100퍼센트 막을 수 있는 방법은 없기 때문에 백신을 항상 최신 상태로 업데이트해 주기적으로 검사를 해야 한다고 강조합니다.


또 대부분의 APT 공격이 목표를 정해놓고 사전조사까지 철저히 실행한 후 열어볼 수 밖에 없도록 만드는 사회공학기법(social Engineering)과 같이 사용하는 것이 일반적입니다. 이메일을 통해 시작되는 만큼 불분명한 이메일은 열어보지 않거나 SNS 등에서 단축 URL 클릭을 자제하는 것도 APT 공격을 막는 방법이라고 말합니다. APT 공격은 비교적 공략하기 쉽고 상대적으로 취약한 개인 사용자 PC를 노리는데, 믿을 만한 지인이나 회사 등으로 가장해 공격을 감행하는 경우가 많기 때문입니다. ‘연봉계약서 통지라는 이메일이나학기 계획표’, SNS 링크로 사진 보내기 등 사용자가 신뢰하기 쉬운 방식으로 공격하는 식입니다.


사회공학기법(Social Engineering)

사회공학기법이란 사람을 속이거나 어떤 행동을 유도하여 그 사람의 금전이나 정보를 훔치는 수법을 의미합니다. 이 수법에는 전화, 메일, 우편, 직접적인 만남 등 다양한 수단과 방법이 사용됩니다. 사회공학기법은 기존 사이버 공격과 같은 결과를 초래합니다. 피해자의 기밀정보를 알아내는데 사용될 수 있는 개인정보를 유도하거나 업무관련 메일인 것처럼 위장하는 방법도 있습니다. 목적은 피해자의 금전, 물품, 중요정보 등 개인 데이터를 탈취하는 데 있으며 피해자의 컴퓨터나 전화를 사용하려는 경우도 있습니다. APT공격은 이러한 1차적인 방법을 통해 개인 PC로 침투하게 되며 2, 3차의 공격 방법을 사용하게 됩니다.


사회공학기법 방지요령

요청하지 않은 개인에 의한 전화, 방문, 이메일을 통해 직원 등 내부정보를 문의하는 경우를 조심합니다. 신원 불상 개인이 정상적인 기관에 소속됐다고 주장하는 경우 해당 기관에 직접 문의하여 그 개인의 신원 확인을 합니다. 개인정보 그리고 네트워크 구조 등 회사정보는 상대방이 해당 정보를 보유할 권한이 있을 경우가 아닐 경우 제공하지 않습니다. 이메일에 개인정보나 금융정보를 밝히지 않고 이러한 정보를 요청하는 이메일을 응하지 않습니다. 이는 이메일에 담긴 링크에 대해서도 마찬가지로 대응합니다. 웹사이트 보안이 확인되기 전에는 인터넷으로 기밀정보를 제공하지 않습니다. 웹사이트 URL에 주의 합니다. 악성 웹사이트는 정상적인 웹사이트와 똑같아 보일 수 있으나 URL에 다른 도메인이나 문자가 들어갈 수 있습니다. 이메일에 의한 정보요청이 정상적인지 불확실한 경우에는 해당 회사에 직접 문의하여 이를 확인 하도록 합니다.


마무리

정보가 중요해 지는 만큼 정보를 탈취하려고 시도하려는 해커들이 많아지고 있습니다. 하지만 보안의 수준도 그 만큼 높아져 해커의 입장에서는 공격을 성공하기가 매우 어려워 졌습니다. 이 때문에 APT공격이 나오게 된 것입니다. 보안의 수준이 올라가는만큼 침투하려고 하는 해커들의 방법도 상상을 초월하는 방법이 나오고 있습니다.


APT공격은 한 가지의 공격을 말하는 것이 아닌 여러 가지의 공격기법이 합쳐진 복합적인 공격이며 침투할 때까지 시간도 오래 걸립니다. 언제나 예방방법은 취약점을 통해 공격당하지 않도록 업데이트를 철저히 하는 것입니다. 또한 한 가지 이상의 백신프로그램을 사용하는 것을 추천합니다.

 




§ 글에 틀린점이 있다면 충분히 수정의 의지가 있으니 고운말로 지적 부탁드립니다. 

§ 공감을 눌러주시면 글을 작성하는데 큰 힘이 됩니다. 

이 댓글을 비밀 댓글로