APT 란?

APT 정의

---

Advanced + Persistent + Threat

• 지능적이고(Advanced) 지속적인(Persistent) 공격(Threat)을 가하는 해킹 공격입니다.
• 대부분의 악성코드는 빠르게 피해를 입히기 위해 피해 대상을 무작위로 선정해 공격하지만, APT는 이와 달리 보다 전략적인 방식으로 공격을 수행합니다.
• 공격자는 트로이 목마 또는 피싱과 같은 기존 악성코드를 통해 침입한 다음 비밀리에 이동하여 네트워크 전체에 공격 소프트웨어를 설치하면서 자신의 흔적을 숨깁니다. 백도어, 키로거 설치등의 목표를 달성하여 몇 년에 걸쳐 지속적으로 데이터를 추출합니다.

 

APT 공격 프로세스

---

• APT의 공격 프로세스는 크게 4가지로 분류해서 설명할 수 있다. [1]
  • 1단계: 침투
    • 공격자가 취약한 시스템이나 직원들을 악성코드로 감염시켜 네트워크 내부로 침투
  • 2단계: 검색
    • 침투한 내부 시스템 및 인프라 구조에 대한 정보를 수집한 후 다음 단계를 계획
  • 3단계: 수집
    • 보호되지 않은 시스템상의 데이터 수집 또는 시스템 운영 방해
  • 4단계: 유출
    • C&C로 중요 데이터 전송
    • 시스템 운영 방해 또는 장비 파괴

APT 공격 사례

---

• 3.20 전산 마비 사건
  • 2013년 3월 20일 대한민국 주요 언론사와 기업체의 전산망이 마비되고, 안랩 서버 및 다수의 컴퓨터가 악성코드에 감염되어 막대한 피해를 입은 사건 [2]
  • “WHOIS”라는 해킹 그룹에서 자신들의 소행이라고 주장하였지만, 정확히 어떤 그룹에서 공격을 한것인지는 확인되지 않음 [3]
    • 북한의 APT 그룹일 가능성도 있다고 하였지만, 어디까지나 가설이고 정확한 결과는 나오지 않음
• 김수키(Kimsuky) CHM(윈도우 도움말 파일) 악성코드 유포
  • 최근 CHM(윈도우 도움말 파일)을 이용한 유포 방식이 다수 확인되었으며, 대부분 문서 내용으로는 대북 주제를 다뤘던 과거와는 다르게 다양한 주제를 이용해 공격을 시도 [4]
  • 유포중인 악성코드는 실행 시 정상적인 도움말 창을 생성하며 내부 악성 스크립트에 의해 악성 행위가 수행되는 형태
    • 사용자는 정상 파일로 위장한 도움말 화면에 속아 악성행위를 알아차리기 어려움
    • 사용자 PC에 생성되는 도움말 창은 특정 분야의 종사자를 타깃으로 각각 다른 주제를 이용해 위장

• 인터파크 개인정보 유출 사건
  • 2016년 인터파크를 대상으로 APT 공격을 통해 개인정보 유출 사고가 발생 [5]
    • 인터파크의 내부 직원을 겨냥해 지인을 사칭하면서 악성코드가 담긴 메일을 보냈고, 이후 서버까지 감염시킨 후 내부 컴퓨터에 악성코드를 확산시키면서 정보를 빼냄
    • 조사단에 따르면 직원 PC를 최초 감염 시킨 뒤 다수 단말기에 악성코드 확산과 함께 내부정보를 수집하고, DB 서버에 접근 가능한 개인정보취급자 PC의 제어권을 획득한 후 DB서버에 접속해 개인정보를 탈취하고 외부로 몰래 유출한 것으로 조사됨