APT 정의
Advanced + Persistent + Threat
- 지능적이고(Advanced) 지속적인(Persistent) 공격(Threat)을 가하는 해킹 공격입니다.
- 대부분의 악성코드는 빠르게 피해를 입히기 위해 피해 대상을 무작위로 선정해 공격하지만, APT는 이와 달리 보다 전략적인 방식으로 공격을 수행합니다.
- 공격자는 트로이 목마 또는 피싱과 같은 기존 악성코드를 통해 침입한 다음 비밀리에 이동하여 네트워크 전체에 공격 소프트웨어를 설치하면서 자신의 흔적을 숨깁니다. 백도어, 키로거 설치등의 목표를 달성하여 몇 년에 걸쳐 지속적으로 데이터를 추출합니다.
APT 공격 프로세스
- APT의 공격 프로세스는 크게 4가지로 분류해서 설명할 수 있다. [1]
- 1단계: 침투
- 공격자가 취약한 시스템이나 직원들을 악성코드로 감염시켜 네트워크 내부로 침투
- 2단계: 검색
- 침투한 내부 시스템 및 인프라 구조에 대한 정보를 수집한 후 다음 단계를 계획
- 3단계: 수집
- 보호되지 않은 시스템상의 데이터 수집 또는 시스템 운영 방해
- 4단계: 유출
- C&C로 중요 데이터 전송
- 시스템 운영 방해 또는 장비 파괴
- 1단계: 침투
APT 공격 사례
- 3.20 전산 마비 사건
- 김수키(Kimsuky) CHM(윈도우 도움말 파일) 악성코드 유포
- 최근 CHM(윈도우 도움말 파일)을 이용한 유포 방식이 다수 확인되었으며, 대부분 문서 내용으로는 대북 주제를 다뤘던 과거와는 다르게 다양한 주제를 이용해 공격을 시도 [4]
- 유포중인 악성코드는 실행 시 정상적인 도움말 창을 생성하며 내부 악성 스크립트에 의해 악성 행위가 수행되는 형태
- 사용자는 정상 파일로 위장한 도움말 화면에 속아 악성행위를 알아차리기 어려움
- 사용자 PC에 생성되는 도움말 창은 특정 분야의 종사자를 타깃으로 각각 다른 주제를 이용해 위장
- 인터파크 개인정보 유출 사건
- 2016년 인터파크를 대상으로 APT 공격을 통해 개인정보 유출 사고가 발생 [5]
- 인터파크의 내부 직원을 겨냥해 지인을 사칭하면서 악성코드가 담긴 메일을 보냈고, 이후 서버까지 감염시킨 후 내부 컴퓨터에 악성코드를 확산시키면서 정보를 빼냄
- 조사단에 따르면 직원 PC를 최초 감염 시킨 뒤 다수 단말기에 악성코드 확산과 함께 내부정보를 수집하고, DB 서버에 접근 가능한 개인정보취급자 PC의 제어권을 획득한 후 DB서버에 접속해 개인정보를 탈취하고 외부로 몰래 유출한 것으로 조사됨
- 2016년 인터파크를 대상으로 APT 공격을 통해 개인정보 유출 사고가 발생 [5]
'디지털포렌식 > APT' 카테고리의 다른 글
공급망 공격(Supply Chain Attack) (0) | 2024.01.23 |
---|---|
스피어피싱 (0) | 2024.01.22 |