본문 바로가기
etc

APT 공격 및 데이터 유출 7단계

by (주)엠플 2013. 5. 13.

여러 기업들이 APT 공격을 차단하고는 있으나 실제로는 탐지 후 확산 방지에 불과하다.

이에 사전에 차단이 가능한지 지능형 공격의 최종 목표는 무엇인지에 대해 APT 공격의 모든 단계를 이해하고 최종 목표인 데이터 유출에 대응하기 위한 방어체계를 구축해야 한다.

image

안티바이러스 및 URL 필터링 제품들이 한때는 정보보호 위협 대응에 있어 충분한 적이 있었다. 그러나 목표 공격으로 인하여 모든 것이 바뀌었다. 오늘날의 지능형 공격은 데이터 유출을 목표로 총 7단계에 걸쳐 발생한다.

다음과 같이 APT 공격 및 데이터 유출의 7단계를 통해 각 기업의 정보보호 체계는 준비가 되어 있는지, 기업이 직면한 위협만큼 정보보안이 지능적인지 파악할 필요가 있다.

1단계 : 정찰(Reconnaissance)

해커는 목표로 하는 사람들에 대한 정보를 얻기 위해 소셜미디어 프로파일에 접근하고 사용자 정보를 획득한다. 그들의 목표는 매우 효과적인 개인 맞춤식 ‘유인(Lure)’을 만들어내는 것이다.

2단계 : 유인(Lures)

유인에는 웹 유인과 이메일 유인의 두 가지 유형이 있다. 웹 유인은 인간의 호기심에 기반을 두고 있다. 뉴스 속보, 연애인 뒷얘기, 기타 인기 있는 주제 등을 찾는 사람들을 현혹하는 검색엔진 최적화(Search Engine Optimization, SEO) 감염 공격이 일반적인 유인으로 사용된다.

웹 유인은 점점 더 개인 소셜 네트워크의 친구 사이에서 확산되는 소셜미디어를 통하여 광범위한 불특정 공격으로 진행되고 있다. 이메일 유인은 웹 유인과 달리 뉴스, 이벤트 및 소셜미디어에 많이 의존하지는 않는다.

대신 사용자가 받기를 기대하는 정보(주문 알림, 티켓 확인증, 배송 통지서, 이메일 테스트 및 세금 환급정보 등)가 가장 많이 사용되는 상위 5개의 예이다. 겉으로는 일반적인 내용을 포함하고 있으므로 쉽게 스팸필터를 우회한다.

올바른 이메일 방어는 훌륭한 웹 방어로부터 시작하기 때문에 스스로 체크해야 할 질문이 있다. 사용자를 보호하고 유인을 식별하기 위해 현재의 보안 시스템이 소셜미디어를 분석할 수 있다고 확신하는가? 웹 및 이메일 보안 솔루션은 위협 정보를 공유하고 상관관계를 제공하는가? 또한 이러한 보안 시스템이 스팸메일의 92%는 잠재적으로 위험한 URL을 포함하고 있다는 사실을 인지하는가?

3단계 : 리다이렉트(Redirects)

익스플로트 킷이 사용되기 전에 일반적으로 사용자는 설문조사, 악성 안티바이러스(AV) 제공 또는 가짜 웹페이지로 연결된다. 일반적으로 리다이렉트는 사용자도 모르게 그들이 원하지 않는 서비스, 콘텐츠 및 다양한 제공을 받도록 하는  SQL 및 iFrame 인젝션(injections) 을 포함하고 있다.

‘악성광고’는 인기 웹사이트내에서 사용자도 모르게 리다이렉션하는 전략이다. 새로운 리다이렉트 전략은 고도의 난독화 자바 스크립트, 가짜 인증서, 가짜 플러그인, 쇼셜 네트워킹 웹사이트로 연결되는 게시물 등을 포함하고 있다. 리다이렉션(Redirection)은 종종 동적이며 빠르게 변화한다. 실시간으로 회사의 보안 시스템은 충분히 빨리 이러한 웹 링크에 대한 평가가 가능한지 점검할 필요가 있다. 

4단계 : 익스플로잇 킷(Exploit Kits)

과거에 해커는 악성코드가 희생자의 시스템에 설치되도록 하는 경로로 사용자를 리다이렉트하는 유인을 사용했다. 이러한 방법이 처음에는 피해를 유발하였지만 위협 연구소 인텔리젼스에 의하여 빠르게 감지가 가능하고 방지가 가능하다.

오늘날은 블랙홀(Blackhole)과 같은 익스플로잇 킷이 드로퍼 파일을 전달하는데 사용되며 대상 시스템에서 취약점이 발견된 경우만 드로퍼 파일이 전송된다. 만약 취약점이 발견되지 않은 경우, 사용자는 안전한 웹 페이지로 리다이렉트되고 익스플로잇 킷은 숨겨진 상태로 유지되며 아무 일도 발생하지 않는다.

따라서 언제 발생할지 모르는 취약점을 찾아내는 익스플로잇 킷의 이해는 지능형 위협과 실시간 방어 시스템을 구축하는데 중요하다. 예를 들어서 악의적인 암호화를 사용하는 블랙홀은 AV 엔진 및 일반적인 복호화 툴이 탐지하는데 매우 어렵다.

AV가 웹 게이트웨이에서의 유일한 방어 시스템인가? 그렇다면 익스플로잇 킷은 취약한 응용프로그램을 통해 시스템에 침투하여 감염시킬 수 있는 가능성이 매우 높다.

5단계 : 드로퍼 파일(Dropper Files)

이 단계에서는 대부분의 조직에서는 전방의 방어 시스템에 초점을 두고 네트워크를 통해서 들어오는 악성코드 때문에 모든 파일을 분석한다. 불행하게도 과거에 문제없이 실행된 것들이 오늘날 잘못된 보안의식을 제공할 수 있다.

문제는 대부분의 AV 엔진이 시그니처 및 패턴이 존재하지 않는 동적 패커(packer)를 사용하는 오늘날의 드로퍼 파일을 탐지할 수 없다는 것이다. 가장 널리 알려진 드로퍼 파일은 가짜로 시스템을 검사하고 치료해 주는 악성 AV이다. 전통적으로 윈도우 시스템에 초점을 두었고, 오늘날 새로운 버전은 맥(Mac) 디펜더(Defender) 또는 프로텍터(Protector)와 같은 애플 컴퓨터까지 대상으로 하고 있다.

지능형 위협 및 데이터 유출을 방지하기 위해 시그니처 기반의 솔루션 외에도 무엇을 준비해야 하는가?

다음의 두 단계는 피할 수 없는 결론을 의미한다. 어떠한 방어시스템도 100% 효과가 없으며 방지만이 데이터 유출의 사전 차단(DLP)을 위한 새로운 방어를 의미한다.

6단계 : 콜홈(Call Home)

멀웨어와 툴을 다운로드하는 일반적인 지능형 공격인 ‘콜홈(Call Home)’은 중요한 정보를 외부로 보내는 것이다. 문제는 대부분의 방어시스템이 들어오는 공격에만 집중하고 있다.

대부분 감염된 시스템으로부터 전송되는 외부와의 콜홈 통신을 분석하지 않는다. 그리고 이러한 콜홈 통신은 탐지를 회피하기 위해 일반적으로 동적 DNS를 사용한다. 다행히도 이러한 지능형 공격의 단계를 방어하는 새로운 기술이 있다.

예를 들어 사용자가 신뢰할 수 있는 사이트를 지속적으로 사용하는 동안에도 감염된 시스템 및 봇의 콜홈으로의 시도는 동적 DNS 사용으로부터 차단할 수 있다. 또한  DLP에서 상황을 인지해 제공하는 지오로케이션(Geo-location) 인지처럼 예정 경로를 판별하여 잠재적인 방어를 제공한다(후자의 경우 그러나 대부분의 멀웨어 통신, 호스팅 및 피싱이 미국에서 발생해 대부분의 정책은 이러한 도메인을 차단하지 않는다).

콜홈 통신을 찾아내기 위해 아웃바운드 트래픽을 분석하는 방어체계를 보유하고 있는가? 개인 웹 메일 및 소셜 미디어 계정으로 전송되거나 또는 개인 클라우드 스토리지 계정에 저장되는 기밀정보를 방지하기 위해 데이터, 사용자, 목적지 및 기타 변수의 상황 분석을 수행할 수 있는가?

7단계 : 데이터 유출(Data Theft)

결국 공격자들이 추구하는 것은 조직의 중요한 데이터이다. 그리고 이전 6단계에서 도입한 보안 시스템의 방어능력이 불충분하여 우회할 수 있을 때 공격자는 데이터를 획득할 수 있다. 그러나 아직 마지막 7단계에서도 기밀 데이터를 안전하게 유지할 수 있는 새로운 방어기술이 있다.

7단계에서는 다음과 같은 질문이 필요하다. 기업의 보호체계는 네트워크로 유출되는 패스워드 파일 또는 아웃바운드 파일에 사용된 범죄 암호화의 사용을 감지할 수 있는가? 정의된 기간 동안 탐지를 회피하기 위해 매 요청마다 소량으로 유출(Drip)되는 기밀정보를 차단할 수 있는가? 데이터가 기업을 떠나는 순간 어떤 데이터가 차단되었는지 포렌식 보고서를 제공하는가?

 

출처 : 보안뉴스

댓글