Sh4n3e
[논문]새롭게 진화하는 위협의 패러다임 - 지능형 지속 위협(APT) 본문
새롭게_진화하는_위협의_패러다임_-_지능형_지속_위협(APT).pdf
[지능형 지속 위협(Advanced Persistant Threat)]
정의 : 장기간에 걸친 목표와 전략을 가지고 정보전에 참여하는 수진이 매우 높은 적
1) 미국 보안업체 MANDIENT 사의 정의
=> 미국 정부 및 민간 기업 컴퓨터를 대상으로 체계적으로 공격하는 수준이 높고 목표의식을 가진 상호협력하는 공격자들의 그룹
2) Frankie Li 등의 학자에 의한 정의
=> 특정한 목표 컴퓨터나 전체 네트워크를 대상으로 정교하고 체계적으로 공격하는 목표의식을 가진, 상호협력하는 그룹에 의해 실행되는 사이버 공격
3) 미국국립기술연구소(NIST)에 의한 정의
=> 고도의 전문 지식과 충분한 리소스를 가진 공격자가 복수의 공격 요소(사이버 공격, 물리적 공격, 사기 등)를 사용해서 목적 달성의 기회를 만들기 위한 공격이다.
통상 그 목적으로는 조직의 정보기술 인프라 내에 침입하기 위한 발판을 구축하고 확대하여, 정보의 지속적인 도용, 조직의 중요한 업무수행을 방해하거나, 미래에 그러한 위협 행위를 준비하는 일에 있다. 지능형 지속 위협은 장기간에 걸쳐서 반복적으로 표적을 쫓거나, 시스템 관리자의 방어 노력에 대응하거나 적응하고, 목적을 달성기 위해서 필요한 수준까지 지속적으로 상호작용을 유지한다.
특징 : 지능형 지속 위협에 주목해야 하는 이유는?
=> 전통적인 위협과 명확히 다른 특징들이 존재하며, 오늘날 위협이 어떠한 방식으로 진화하는지 분명하게 보여주는 동시에 많은 시사점을 제공하기 때문이다.
1) 지능형(Advanced)
잘알려진 공개적인 취약점을 이용할 수 있으나, 알려지지 않은 취약점을 연구하거나 표적에 맞춘 익스플로잇을 개발할 수 있다.
2) 지속(Persistent)
성공할 때 까지 끊임없이 장기간에 걸쳐 은밀하게 이루어지는 것이다.
① 의뢰인
자금력과 조직화를 담보할 수 있고, 목적과 목표를 명확하게 해준다.
② 기간
사이버 공격의 암으로 비유한다. 지능형 지속 위협은 "오랜기간"에 걸쳐 이루어지면서도 발견되지 않는 특징이 있다. 공격자들은 다양한 공격탐지시스템을 우회하거나, 탐지시스템의 능력이하에서 활동한다.
지능형 지속 위협의 기간은 반드시 사이버 공간에서 이루어지는 행위만을 포함하는 것이 아니다. 공격을 시도하기전에 물리적 공간에서 이루어지는 탐색, 정보 수집, 사회공학적 공격 등도 활동기간에 포함된다.
③ 상호작용
지능형 지속 위협은 당장의 이익과 장기간의 이익 모두에 관심이 있다. 언제든지 시스템에 드나들 수 있는 교두보를 마련해 놓고 상호작응을 한다. 이 때 사용되는 방법은 C&C 서버를 이용하며, 탐지되지 않는 수준으로 유지된다.
3) 위협(Threat)
기존의 전통적인 위협과 다르게 동기나 공격을 통해 이루고자 하는 목적이 분명하며, 공격대상 또한 명확하다.
① 조직화(Organization)
② 목적(Goal) : 정치적, 금전적, 군사적 목적(뚜렷한 목적)
③ 위협 대상(Target) : 침해하고자 하는 목표 지점과 범위가 비교적 명확하다.
4) 주체, 행위, 개체에 따른 위협의 특징
'지능형'이라는 것은 고도화되고 복잡하며 완전히 새로운 기법을 통해 시스템에 침입하는 것이 아니다. 지능형 지속 공격에 사용되는 가장 보편적인 방법은 스피어 피싱같은 사회공학적 기법이나 기존에 존재하는 단순한 공격들의 조합일 수 있다. 이것을 특징적으로 분류해보면 다음과 같다.
① 주체(Threat actor)
조직화, 목적, 위협대상, 의뢰인
② 행위(Threat activity)
알려진 취약점 사용, 알려지지 않은 취약점 사용, 공격의 조합, 기간, 상호작용
③ 위협 대상(Target)
피해자, 피해 내용
킬체인
