지능형 지속 위협(APT)은 복잡하고 국가가 후원하는 경우가 많은 사이버 위협 범주로, 장기적이고 은밀하며 표적화된 접근 방식을 특징으로 합니다. APT는 일반적으로 국방, 제조, 금융 부문 등 고가치 정보를 보유한 기업을 표적으로 삼습니다.
지능형 지속 위협(APT)의 역사적 맥락
APT(지능형 지속 위협) 개념은 2000년대 후반에 등장했으며, 2010년경 중국 APT 그룹이 수행한 일련의 사이버 공격인 오로라 작전(Operation Aurora)이 공개되면서 더욱 주류가 되었습니다. 그들은 Google을 포함한 여러 유명 회사를 표적으로 삼아 지적 재산을 훔치고 사용자 계정을 손상시켰습니다. 이 사건은 사이버 보안 환경의 패러다임 전환을 의미하며 APT가 입힐 수 있는 정교함과 잠재적 피해를 드러냈습니다.
지능형 지속 위협(APT)의 분석
APT는 일반적으로 장기간 탐지되지 않은 무단 개체에 의한 네트워크 침해와 관련됩니다. 동기는 종종 데이터 절도 또는 간첩이며, APT 그룹은 정교한 전술, 기술 및 절차(TTP)를 사용하여 진입하고, 숨어 있으며, 목표를 달성합니다.
APT 라이프사이클은 일반적으로 다음 단계로 구성됩니다.
-
초기 액세스: APT 그룹은 스피어 피싱, 취약점 악용 또는 악성 코드를 사용하여 네트워크에 접근하는 경우가 많습니다.
-
거점 구축: 일단 내부로 들어가면 그룹은 지속적인 액세스를 보장하기 위해 백도어를 설정하여 작업을 설정합니다.
-
권한 승격: 위협 행위자는 더 깊은 네트워크 접근을 위해 더 높은 수준의 권한을 얻으려고 합니다.
-
내부 정찰: 침입자는 네트워크를 탐색하여 귀중한 데이터가 어디에 있는지 식별합니다.
-
측면 운동: 그룹은 네트워크 전체에 영향력을 확산시켜 더 많은 시스템을 활용합니다.
-
데이터 유출: 귀중한 데이터를 추출하여 공격자의 서버로 다시 전송합니다.
-
고집: 목표를 달성한 후에도 그룹은 종종 눈에 띄지 않게 네트워크에 남아 다시 공격할 준비가 되어 있습니다.
지능형 지속 위협(APT)의 주요 기능
APT 공격의 특징은 다음과 같습니다.
-
고급 방법: 정교한 기술과 악성코드를 사용하고 제로데이 취약점을 악용합니다.
-
고집: APT는 목표를 달성하기 위해 오랜 시간(보통 몇 달 또는 몇 년) 동안 시스템에 상주합니다.
-
몰래 하기: 일반 네트워크 트래픽과 혼합되는 방법을 사용하여 은밀하게 작동합니다.
-
표적 공격: APT는 일반적으로 귀중한 정보가 있는 특정 조직이나 부문에 중점을 둡니다.
-
국가 또는 대규모 범죄 단체의 후원: APT는 종종 상당한 리소스를 보유하고 있어 방어하기가 매우 어렵습니다.
지능형 지속 위협(APT)의 유형
APT는 중복되고 진화하는 경우가 많기 때문에 명확한 분류 시스템은 없습니다. 그러나 일반적으로 다음과 같은 출처 또는 대상 선호도에 따라 인식됩니다.
APT 그룹 이름 | 믿을 수 있는 원산지 | 일반적인 목표 |
---|---|---|
APT28(팬시 베어) | 러시아 | 정부, 군대, 보안 기관 |
APT29(코지 베어) | 러시아 | 싱크탱크, NGO, 선거과정 관련 시스템 |
APT3(고딕 팬더) | 중국 | 국방, 통신, 첨단산업 |
APT33(엘핀) | 이란 | 석유화학, 항공 및 중요 인프라 |
지능형 지속 위협(APT) 활용 및 방어
APT는 은밀한 성격과 이로 인해 발생할 수 있는 잠재적 피해로 인해 심각한 위험을 초래합니다. 따라서 APT를 방어하려면 포괄적이고 사전 예방적인 접근 방식이 필요합니다.
-
교육: 피싱 이메일과 같은 잠재적인 위협을 인식하고 대응할 수 있도록 직원을 교육합니다.
-
정기적인 패치 및 업데이트: 시스템과 소프트웨어를 최신 상태로 유지하면 취약점 악용 위험이 줄어듭니다.
-
네트워크 분할: 공격자가 접근 권한을 얻은 경우 네트워크 내 이동을 제한합니다.
-
위협 사냥: 경고를 기다리지 않고 네트워크 내 위협을 사전에 찾아냅니다.
-
고급 보안 도구: SIEM, EDR, AI 기반 위협 탐지 등 정교한 도구를 사용합니다.
유사 용어와의 비교
용어 | 설명 |
---|---|
지능형 지속 위협(APT) | 자원이 풍부한 공격자의 장기적인 표적 공격 |
악성 코드 | 반드시 고급이거나 지속적일 필요는 없는 악성 소프트웨어에 대한 일반적인 용어입니다. |
DDoS 공격 | 일반적으로 은밀하거나 지속적이지는 않지만 네트워크나 서버를 압도하려는 공격입니다. |
스피어 피싱 | APT 자체는 아니지만 APT의 벡터로 자주 사용되는 표적 피싱 시도입니다. |
APT 관련 미래 전망과 기술
사이버 방어가 향상됨에 따라 APT 전술도 향상됩니다. APT 공격과 방어 모두에서 AI와 머신러닝의 사용이 증가할 가능성이 높습니다. 또한 위협 행위자가 공격을 수행하기 위해 대상 네트워크 내에서 합법적인 도구를 사용하는 "Living-off-the-land" 공격이 증가할 수 있으므로 탐지가 더욱 어려워질 수 있습니다.
APT(지능형 지속 위협)과 프록시 서버의 연결
APT와 관련해 프록시 서버는 양날의 검이 될 수 있습니다. 한편으로는 네트워크의 IP 주소를 마스킹하여 APT 그룹이 이를 식별하고 표적으로 삼는 것을 더 어렵게 만들어 보안을 강화할 수 있습니다. 반면, APT 그룹은 프록시 서버를 사용하여 위치와 신원을 숨길 수 있으므로 탐지 및 속성 파악이 더욱 어려워집니다.
OneProxy와 같은 프록시 서버 제공업체의 경우 트래픽 모니터링, 비정상적인 활동 감지 등 엄격한 보안 조치를 구현하여 위협 행위자가 해당 서비스를 오용하지 않도록 하는 것이 중요합니다.