반응형
APT(Advanced Persistent Threat, 지능형 지속 위협) 공격은 조직적이고 지속적인 사이버 공격으로, 특정 대상(기업, 기관, 개인)을 목표로 하여 민감한 정보를 수집하거나 시스템을 손상시키기 위해 실행됩니다. APT 공격은 일반적인 해킹보다 훨씬 복잡하며, 아래는 APT 공격이 이루어지는 주요 단계를 순서대로 설명한 것입니다.
1. 정찰(Reconnaissance)
- 목적: 목표에 대한 정보를 수집하여 공격을 준비합니다.
- 방법:
- 공개된 자료 조사(OSINT): 웹사이트, 소셜 미디어, 공개된 문서에서 취약점을 탐지.
- 네트워크 및 시스템 조사: 네트워크 구성, IP 주소, 도메인 정보를 수집.
- 직원 조사: 소셜 엔지니어링을 위한 내부자 정보 수집.
2. 초기 침투(Initial Intrusion)
- 목적: 시스템 내부로 첫 번째 침입을 성공시킵니다.
- 방법:
- 피싱(Phishing): 악성 이메일 또는 링크를 통해 악성코드를 배포.
- 제로데이(Zero-Day) 취약점 활용: 알려지지 않은 취약점을 통해 시스템에 침투.
- 악성 소프트웨어 배포: 악성 첨부 파일, 문서 매크로 등을 실행.
3. 악성코드 설치(Establish Foothold)
- 목적: 시스템에 악성코드를 설치하여 지속적인 접근 권한을 확보합니다.
- 방법:
- 백도어(Backdoor) 설치: 공격자가 언제든지 시스템에 재접근할 수 있는 경로 생성.
- 악성 소프트웨어(Malware): 원격 조정이 가능한 프로그램 설치.
4. 내부 네트워크 탐색(Privilege Escalation & Lateral Movement)
- 목적: 더 많은 권한을 확보하고 내부 시스템 전체를 장악합니다.
- 방법:
- 권한 상승(Privilege Escalation): 관리자 권한을 탈취.
- 측면 이동(Lateral Movement): 내부 네트워크를 스캔하여 다른 시스템에 접근.
- 자격 증명 탈취(Credential Dumping): 로그인 정보를 수집하여 추가 시스템에 접근.
5. 목표 데이터 수집(Data Exfiltration)
- 목적: 목표로 설정한 데이터를 수집하고 외부로 전송합니다.
- 방법:
- 중요한 데이터 식별: 이메일, 문서, 데이터베이스 등 특정 정보 수집.
- 데이터 압축 및 암호화: 탐지되지 않도록 데이터를 압축하거나 암호화.
- 외부로 전송: 외부 서버로 데이터를 전송하거나 특정 채널(웹, 클라우드)을 통해 유출.
6. 지속성 유지(Maintain Persistence)
- 목적: 탐지되지 않고 공격을 장기적으로 지속합니다.
- 방법:
- 은닉 기술 사용: 악성코드를 숨기거나 정기적으로 업데이트.
- 추가 백도어 설치: 탐지 및 제거에 대비하여 복수의 접근 경로를 생성.
- 정기적인 점검: 공격이 지속 가능한지 확인하고 새로운 보안 방어 체계에 대응.
7. 탐지 회피 및 방어 체계 무력화(Covering Tracks)
- 목적: 공격 활동이 탐지되지 않도록 모든 흔적을 제거합니다.
- 방법:
- 로그 삭제: 네트워크나 시스템 로그를 삭제하여 추적 방지.
- 흔적 위조: 공격자의 활동을 다른 사용자나 시스템 문제로 위장.
- 보안 시스템 비활성화: 침입 탐지 시스템(IDS)이나 방화벽을 우회.
8. 완전한 시스템 파괴(Optional)
- 목적: 공격 목표가 정보 수집이 아닌 시스템 파괴인 경우 실행됩니다.
- 방법:
- 랜섬웨어 설치: 데이터를 암호화하고 금전을 요구.
- 데이터 삭제: 시스템의 모든 데이터를 삭제하거나 손상.
- 운영 방해: 네트워크를 마비시키거나 주요 시스템을 정지.
APT 공격의 특징
- 지속성: 장기간 지속되며, 목표가 달성될 때까지 공격을 멈추지 않습니다.
- 정교함: 다양한 기술(피싱, 악성코드, 소셜 엔지니어링 등)을 복합적으로 사용합니다.
- 특정 목표: 무차별적인 공격이 아니라 특정 기업, 정부 기관, 산업군을 목표로 합니다.
- 은밀함: 탐지되지 않도록 최신 은닉 기술을 사용하며, 공격이 완료된 후에도 흔적을 잘 남기지 않습니다.
APT 공격 방어 전략
- 교육 강화: 직원 대상 보안 인식 교육(피싱, 소셜 엔지니어링 방지).
- 다단계 인증(MFA): 계정 보안을 강화하여 자격 증명 탈취 방지.
- 정기적인 보안 업데이트: 소프트웨어 및 시스템 패치를 통해 제로데이 취약점 최소화.
- 침입 탐지 및 대응(IDS/IPS): 비정상적인 네트워크 활동을 실시간으로 모니터링.
- 백업 시스템 강화: 데이터를 정기적으로 백업하고 복구 계획 수립.
- 네트워크 분리: 중요 시스템과 일반 네트워크를 물리적으로 또는 논리적으로 분리.
APT 공격은 사이버 보안 위협 중 가장 치명적인 유형 중 하나이므로, 사전 예방과 탐지, 대응 체계를 철저히 구축하는 것이 중요합니다.
반응형
'[문서중앙화]' 카테고리의 다른 글
| [문서중앙화 필요성] 필수요건 !! (0) | 2024.12.17 |
|---|---|
| [문서중앙화 필요성] DRM + DLP + FileServer + @ 역할!! (1) | 2024.12.17 |
| [문서중앙화 필요성] 랜섬웨어 공격 차단!! (1) | 2024.12.17 |
| 문서 중앙화의 필요성!! (0) | 2024.12.17 |