APT(Advanced Persistence Threat)란?

APT(Advanced Persistence Threat)

진보된 지속적 위협으로 사회 공학적 해킹의 진화형이다. 특정 공격 대상을 집요하게 공략하여 공격을 시도한다. APT는 장기간 준비와 공격을 하며 주요 공격 대상은 사업체나 정치 단체를 표적으로 한다. 기존 무작위를 대상으로 하는 공격과는 다르게 해당 기업에 대한 철저한 조사와 준비과정을 거쳐서 정해진 목표를 달성하기 위한 공격행위이다.

 

과정

1. 목표 설정 : 공격 대상을 정하고 공격 대상에게 무엇을 얻을 것인지 목적을 명확하게 세운다.
2. 정찰(정보수집) : 공격 대상에 대해 필요한 모든 정보들을 수집한다. 네트워크, 물리적 장비, 기업이라면 사원의 수와 몇시에 출근 퇴근을 하는지 등 수집할 수 있는 최대한으로 수집하고 준비한다.
3. 내부망 접근(초기접속) : 수집한 정보를 바탕으로 취약한 부분들을 통해 내부망으로 접속한다.
4. C&C 통신 : 내부망 접근에 성공했다면 필요시 언제든 제어할 수 있게 C&C 통신을 준비한다.
5. 내부망 전파(장악시스템 이동) : 내부망에서 초기 설정한 목적 달성을 위해 시스템을 제어할 수 있는 장악시스템으로 이동한다.
6. 목표 시스템 수색 : 초기 목적을 달성하는 시스템을 찾는다.
7. 공격(목적달성) : 목표 시스템에서 초기에 설정한 목적을 달성한다. (데이터 탈취, 훼손 등)

Lockheed Martin의 cyber kill chain

위와 같은 공격 과정을 거쳐서 고도화된 공격을 진행한다. APT는 초기 설정한 목적을 달성하기 위해 행동하기 때문에 최종 목적을 달성하지 못했다면 내부망에 진입했다고 해도 APT 공격에 성공했다고 할 수 없다.

 

Intelligence를 이용한 APT 공격 방어/예방

여러 기업들이 갖고있는 노하우를 공유하여 APT 공격을 방어/예방하는 것이다. OSINT는 인터넷에 돌아다니는 정보를 모아서 공유하는 것으로 특정 기업, 정부에서 APT 공격이 발생했다면 어떤식으로 접근했고 대처했는지 어떻게 발견했는지 등을 공유하여 다른 기업에서 같은 피해가 발생하지 않도록 정보를 공유하는 것이다. 또는, 기업 자체적으로 연구와 기업들 간의 공유를 통해 정보를 얻는 방법이 있다. 즉, 모두에게 공개된 것이 아닌 필요로 하는 기업끼리 정보를 공유하는 것이다.

여러 사람, 기업이 정보를 공유하므로써 침해사고에 대한 정보를 빠르게 수집하고 빠르게 대응하자는 취지이다.

이러한 Intelligence 사이트 중 대표적인 사이트는 MITRE ATT&CK Framework / CVE 이다.