지능형 지속 위협(APT)

지능형 지속 위협(APT)은 일반적으로 자금과 자원이 풍부한 조직(예: 국가 지원 조직 또는 범죄 조직)이 특정 대상을 겨냥하여 실행하는 정교하고 지속적인 사이버 공격을 말합니다. 지능형 지속 위협은 복잡하고 규모가 크며 장기적으로 지속됩니다. 초기 침해 이후 공격자는 오랜 기간 동안 대기하면서 조직 내의 활동을 모니터링하고, 측면 이동을 통해 내부 접근 범위를 확장합니다.

지능형 지속 위협의 전술은 다양합니다. 어떤 경우에는 민감한 데이터가 서서히 유출되며, 단 한 번의 대규모 공격이 발생할 수도 있습니다. 이러한 공격의 목적은 다음과 같이 나눌 수 있습니다.

1. 사이버 스파이 활동
2. 파괴 및 방해(예: 인프라 또는 네트워크 공격)
3. 갈취
4. 금전적 절도
5. 핵티비즘

지능형 지속 위협의 대상

지능형 지속 위협 공격의 대상은 다양하지만, 주로 가치 있는 데이터나 민감한 정보, 또는 전략적으로 중요한 자산을 보유한 조직과 산업을 표적으로 삼습니다. 이러한 대상은 정부 기관부터 민간 기업까지 다양하며, 공격자는 지정학적, 경제적, 재정적 목표에 따라 선택하는 경우가 많습니다. 다음은 일반적인 APT 공격 대상입니다.

핵심 인프라

필수 서비스 중단을 목표로 하거나 잠재적인 미래 공격을 위한 정보를 수집하는 경우, 에너지, 수도, 의료, 운송, 통신 부문의 조직이 APT의 일반적인 대상이 됩니다.

교육 및 연구 기관

대학 및 연구 기관은 국방, 에너지, 의료 관련 정부 지원 프로젝트를 수행하는 경우가 많아 사이버 스파이 활동의 주요 대상이 됩니다.

에너지 부문

석유, 가스, 전력 등의 공급망을 교란시키면 광범위한 경제적, 정치적 영향을 미칠 수 있기 때문에 에너지 부문은 APT의 주요 공격 대상이 됩니다.

금융 기관

자금 탈취, 개인 금융 정보 확보, 금융 네트워크(SWIFT 등)에 접근하여 금전적 이득을 취하거나 경제를 불안정하게 만들기 위해 금융 기관을 표적으로 합니다.

정부 및 국방 기관

APT 공격은 기밀 정보, 국방 기술 및 외교 통신을 포함한 민감한 정부 및 군사 정보를 표적으로 삼습니다.

미디어 그룹

APT는 여론을 조작하거나, 언론인을 감시하거나, 정보의 흐름을 방해하기 위해 미디어 조직을 표적으로 삼습니다.

정치 조직

APT는 정보를 수집하거나, 허위 정보를 유포하거나, 정치적 과정에 개입하기 위해 정당 및 선거 인프라를 표적으로 합니다.

민간 조직

항공우주, 제조, 제약과 같은 부문의 조직은 귀중한 지적 재산(IP)과 영업 비밀을 보유하고 있습니다. APT는 경제적 이득을 위해 민간 조직을 표적으로 삼으며, 특히 국가 안보에 중요한 산업일수록 공격 가능성이 높습니다.

기술 및 통신 회사

기술 및 통신 회사는 경제적 이익 또는 국가 안보 목적에 활용될 수 있는 귀중한 지적 재산(IP), 연구 및 기술 데이터를 보유하는 경우가 많기 때문에 APT의 주요 공격 대상이 됩니다.

지능형 지속 위협의 구성 요소

APT는 세 가지 핵심 요소로 구분됩니다. 다른 위협은 이 중 하나나 두 가지만 포함할 수 있지만, 세 가지를 모두 충족해야 APT로 간주됩니다.

지능형

지능형 위협은 다음과 같은 목적으로 맞춤형 익스플로잇을 개발할 능력을 갖춘 집단에 의해 수행됩니다.

1. 특정 대상의 환경 및 취약점을 이용
2. 공개된 익스플로잇을 대규모로 활용하여 공격
3. 이 두 가지를 조합하여 활용

이러한 공격을 지능형으로 만드는 또 다른 요인은 극도로 정교한 정보 수집 능력입니다.

지속성

지능형 지속 위협의 맥락에서 ‘지속적’이라는 것은 기회에 따라 무차별적으로 시도하거나 불특정 다수를 겨냥하는 것이 아니라, 공격에 명확한 목표가 있음을 의미합니다. 이러한 지속성 때문에 지능형 지속 위협은 특히 위험합니다. 공격자는 충분한 지원을 받으며 목표를 달성할 때까지 집요하게 공격을 이어갑니다. 장기적으로 시간과 노력을 들여 여러 단계의 공격을 실행한다는 점이 특징입니다.

위협

지능형 지속 위협이 단순한 멀웨어 공격과 다른 점은 인간의 개입이 있다는 것입니다. 지능형 지속 위협은 멀웨어를 사용할 수 있지만, 사람이 직접 공격의 실행, 진행, 조정에 관여합니다.

기술이 인간의 개입 및 감독과 긴밀하게 결합되어 정교한 익스플로잇을 실행하고 임무를 성공적으로 완수할 수 있도록 합니다.

공격자는 특정 목표를 가지고 있으며, 숙련되고, 동기가 부여되어 있을 뿐만 아니라, 조직화되어 있고, 자금력이 풍부합니다. 행위자는 국가 지원 조직에만 국한되지 않습니다.

지능형 지속 위협의 간략한 역사

2005년, 영국과 미국의 컴퓨터 비상 대응팀(미 국토안보부 산하 조직)은 민감한 정보를 표적으로 하는 고도화되고 지속적인 공격에 대하여 경고를 발표했습니다. 사이버 공격 자체는 새로운 개념이 아니었지만, 해당 공격은 과거와 달리 매우 복잡하고 조직적이었습니다.

‘지능형 지속 위협’이라는 용어는 2007년 미국 공군에서 처음 사용되었으며, 이 용어를 만든 인물은 Greg Rattray 대령입니다.

2007년에 저는 국방 산업 기지와 협력하여 대응해야 할 새로운 적대 세력을 특징짓기 위해 ‘지능형 지속 위협’이라는 용어를 만들었습니다. 그 이후 APT라는 용어와 적대 세력은 함께 진화해왔습니다. 하지만 변하지 않은 것이 하나 있습니다. 사이버 공간에서는 지능형 공격자들이 자신들이 원하는 자산을 가진 표적을 끈질기게 추적한다는 사실입니다. 방어가 아무리 강력하더라도 절대 포기하지 않습니다.

미 공군 Greg Rattray 대령

지능형 지속 위협의 예시

가장 유명한 지능형 지속 위협에는 다음과 같은 예시들이 있습니다. 예시 중에는 이 용어가 사용되기 전에 발생했지만 지능형 지속 위협으로 간주되는 사례도 있습니다.

The Cuckoo’s Egg

The Cuckoo’s Egg 지능형 지속 위협은 가장 초기의 지능형 지속 위협 중 하나로 언급됩니다. 이 공격은 서독 해커들에 의해 군사 연구 기관을 대상으로 수행되었습니다. The Cuckoo’s Egg APT는 네트워크로 연결된 컴퓨터를 침투해 ‘스타워즈 프로그램(Star Wars Program)’이라는 전략 방위 구상(SDI)과 관련된 비밀 정보를 탈취했습니다. 여기에는 기밀 국방 자료, 군사 및 연구 통신, SDI 계약업체들의 전략적 연구 등이 포함되었습니다.

Moonlight Maze

Moonlight Maze는 대규모 사이버 스파이 공격이었습니다. 이 지능형 지속 위협은 미 국방부, NASA, 군사 계약업체, 에너지부 등 미국 정부 기관과 군사 연구에 참여한 대학 및 연구소를 표적으로 삼았습니다. Moonlight Maze는 국가 주도의 APT의 초기 사례로, 러시아와 관련된 것으로 추정됩니다. 공격자들은 컴퓨터 시스템에 침투해 방대한 양의 민감 데이터를 탈취했으며, 여기에는 기밀 군사 정보, 연구 자료, 지도 등이 포함되었습니다.

Titan Rain

Titan Rain은 미국 정부 기관, 방위 산업체, 민간 기업을 대상으로 한 일련의 사이버 공격이었습니다. 중국 정부는 개입을 부인했지만, 공격은 중국의 국가 지원 해커들이 수행한 것으로 추정됩니다.

이 지능형 지속 위협은 군사 데이터, 지적 재산권, 기술 비밀 등 민감한 정보를 탈취하는 데 초점을 맞췄습니다. 공격자들은 Lockheed Martin, NASA, 샌디아 국립연구소 등의 시스템에 침투해 국방 관련 중요 정보를 확보했습니다.

Sykipot

Sykipot은 중국 해커들이 수행한 사이버 스파이 공격으로 알려져 있습니다. Sykipot 지능형 지속 위협은 악성 첨부 파일이 포함된 스피어 피싱 이메일, 감염된 웹사이트 링크, 제로데이 취약점을 활용해 보안 네트워크에 접근했습니다.

침투 후 공격자들은 스마트카드 기술의 취약점을 이용해 인증 시스템을 우회하고 지적 재산권을 탈취했습니다. 이 APT는 미국의 방위 계약업체와 정부 기관뿐 아니라 영국의 기업들도 표적으로 삼았습니다.

GhostNet

GhostNet은 또 다른 대규모 사이버 스파이 공격으로, 중국 해커들과 연관된 것으로 추정되었으나 중국 정부는 이를 부인했습니다. 이 지능형 지속 위협은 주로 정치 및 외교 기관을 대상으로 했으며, Dalai Lama의 사무실을 포함해 100개국 이상의 정치, 경제, 언론 기관을 표적으로 삼았습니다.

GhostNet은 악성 첨부 파일이 포함된 스피어 피싱 이메일을 사용했습니다. 해당 이메일을 열면 원격 명령 및 제어 시스템으로부터 명령을 실행하는 트로이목마가 설치되고, 추가 멀웨어를 다운로드해 시스템 전체를 장악했습니다. 이 APT는 오디오 및 비디오 녹화 장치를 활용해 감염된 시스템의 위치에서 통신을 감시했습니다.

Operation Aurora

Operation Aurora 지능형 지속 위협은 제로데이 취약점을 이용해 Hydraq라는 악성 트로이목마를 설치하고 정보를 탈취했습니다. 이 사이버 공격 역시 중국 정부의 소행으로 추정되었지만, 중국 정부는 이를 부인했습니다. 공격 대상은 Google, Adobe, Intel 등 주요 미국 기업이었습니다.

이 공격의 목적은 지적 재산권, 기업 데이터, 소스 코드를 탈취하는 것이었습니다. 해커들은 정교한 스피어 피싱 기술을 사용하여 웹 브라우저의 취약점을 악용함으로써 기업 네트워크에 접근했습니다.

Google을 제외한 대부분의 피해 기업들은 공격 사실을 공개하지 않았습니다. Google은 공격자가 인권 운동가들의 Gmail 계정도 표적으로 삼았다는 사실을 확인한 뒤 공격 사실을 공개했습니다.

RSA Attack

RSA 지능형 지속 위협 공격은 이중 인증 솔루션의 선도 제공업체인 RSA Security를 표적으로 삼았습니다. 국가 지원을 받은 것으로 추정되는 공격자들은 PoisonIvy라는 멀웨어와 함께 스피어 피싱 이메일을 사용했습니다. PoisonIvy는 당시 널리 사용되던 원격 접근 트로이목마입니다.

이 멀웨어는 악성 Excel 파일의 첨부 스프레드시트에 포함된 Adobe Flash의 취약점을 이용했습니다. 공격자들은 이 멀웨어를 통해 RSA의 네트워크에 침투했습니다. 내부에 침입한 후, 공격자들은 RSA의 인증 기술인 RSA SecurID 토큰과 관련된 민감한 데이터를 탈취했습니다. 이 침해 사고는 심각한 피해를 초래했습니다. 공격자들이 탈취한 데이터를 이용해 국방 계약업체 및 정부 기관 등 RSA 고객사의 보안 시스템을 우회할 가능성이 있었기 때문입니다.

Stuxnet

Stuxnet은 산업 제어 시스템(ICS)을 표적으로 설계된 혁신적인 지능형 지속 위협으로, 이란 Natanz 시설의 핵 원심분리기를 조작하는 시스템을 공격했습니다. 이 공격은 미국과 이스라엘의 합동 작전이었던 것으로 알려져 있으나, 양국 모두 관여를 부인했습니다. Stuxnet은 이란의 핵 프로그램을 파괴하기 위해 원심분리기에 물리적 손상을 입히면서도 이를 정상적인 작동으로 위장하도록 설계되었습니다.

Stuxnet은 물리적 인프라에 실제 손상을 입힌 최초의 사이버 공격 사례 중 하나입니다. 프로그래머블 로직 컨트롤러(PLC) 루트킷이 포함된 첫 번째 멀웨어로, APT가 특정 날짜에 자체적으로 삭제되도록 프로그래밍되었습니다.

Flame

Flame은 매우 정교한 지능형 지속 위협으로, 주로 중동 국가를 표적으로 삼았습니다. 이란, 이스라엘, 수단, 시리아, 레바논, 사우디아라비아, 이집트 등 1,000개 이상의 시스템이 감염되었습니다. 이 APT는 국가의 지원을 받은 것으로 추정되며, Stuxnet을 개발한 동일한 세력의 소행일 가능성이 높습니다.

Flame은 광범위한 정보 수집을 위해 설계되었습니다. 로컬 네트워크나 USB 저장 장치를 통해 확산되었으며, 오디오 녹음, 스크린샷 캡처, 키 입력 기록, 네트워크 트래픽 가로채기가 가능했습니다. 또한 주변의 Bluetooth® 사용 장치에서 연락처 정보를 탈취할 수 있었습니다.

이 APT는 정부 부처, 교육 기관, 개인을 대상으로 정보 수집 활동을 수행했으며, 주요 목적은 지정학적 정보 확보였습니다. Flame은 복잡성, 규모, 장기간 탐지되지 않은 능력 면에서 가장 진화된 APT 도구입니다. Flame의 발견은 사이버 도구가 스파이 공격 및 정보 수집 수단으로 점점 더 널리 사용되고 있음을 보여주었습니다.

지능형 지속 위협의 수명 주기

지능형 지속 위협은 여러 체계적인 단계로 구성됩니다. 이러한 단계들은 탐지를 피하기 위해 매우 빠르게 진행되기도 하고, 장기간에 걸쳐 천천히 이루어지기도 합니다. 다음은 지능형 지속 위협의 주요 실행 단계입니다.

접근 또는 침투 확보

대상을 선정한 후, 지능형 지속 위협은 승인된 사용자, 네트워크 자원, 웹 자산의 세 가지 주요 경로를 통해 대상에 침입합니다. 공격자는 다음과 같은 여러 접근 방식을 통해 침입합니다(때로는 혼란을 일으키기 위한 분산 서비스 거부(DDoS) 공격을 병행함).

1. 애플리케이션 취약점
2. 피싱 이메일
3. 스피어 피싱
4. 랜섬웨어
5. 원격 파일 포함(RFI)
6. 소셜 엔지니어링
7. SQL 삽입
8. 정상 소프트웨어로 위장한 트로이목마
9. 워터링 홀 공격
10. 제로데이 익스플로잇

거점 확보

일단 목표 시스템에 침입하면 공격자는 백도어와 터널 네트워크를 구축하여 탐지되지 않은 상태에서 시스템을 이동할 수 있습니다. 대부분의 경우 멀웨어는 공격자가 이동하면서 남긴 흔적을 지우도록 설계되어 있습니다. 또한 공격자는 명령 및 제어(CnC) 서버를 통해 네트워크에 대한 원격 접근 권한을 확보합니다.

확장 및 권한 상승

공격자가 거점을 확보하면, 이후에는 접근 범위를 확장하고 네트워크 내 지배력을 강화하기 위해 측면 이동을 합니다. 이 과정에서 공격자는 다른 서버와 네트워크의 보안 영역에 침투하며, 키로거와 무차별 대입 공격을 통해 특수 권한 계정 정보를 탈취하고 특수 권한을 상승시킵니다.

공격 실행 및 정보 탈취

원하는 접근 권한을 확보한 후 공격자는 데이터 탈취를 시작합니다. 이 과정에서는 데이터 탐지를 피하고 전송 속도를 높이기 위해 정보를 중앙화하고, 암호화하며, 압축합니다. 대부분의 지능형 지속 위협은 여기서 공격이 끝나지 않습니다. 공격자는 시스템 내에 숨어서 다음 공격을 준비하거나 조용히 데이터를 계속 유출하기도 합니다.

지능형 지속 위협 완화 방법

지능형 지속 위협은 규모와 복잡성이 매우 크기 때문에, 완화를 위해서는 조직의 전체적인 보안 프로그램과 최종 사용자를 활용하는 다면적인 접근 방식이 필요합니다.

다음은 지능형 지속 위협 완화에 사용할 수 있는 사이버 보안 및 정보 분석 솔루션입니다.

1. 최소 권한의 원칙을 적용한 접근 제어
2. 애플리케이션 및 도메인 화이트리스트
3. 데이터 보안 분석
4. 암호화
5. 엔드포인트 보호
6. 침입 탐지
7. 멀웨어 탐지
8. 네트워크 마이크로세그멘테이션
9. 네트워크 소프트웨어 및 운영체제 취약점 패치
10. 침투 테스트
11. 보안 정보 및 이벤트 관리자(SIEM)와 함께 침해 지표(IOC) 등 기술 정보 활용
12. 트래픽 모니터링
13. 웹 애플리케이션 방화벽(WAF)

효과적인 지능형 지속 위협 대응을 위한 인식 및 준비

본질적으로, 지능형 지속 위협은 매우 창의적이며 취약점을 표적으로 삼는 데 효과적입니다. 이에 대응하기 위해서는 강력한 보안 태세와 전체적인 보안 접근 방식이 필요합니다. 기계적 요소와 인간적 요소를 포함한 모든 진입 지점을 철저히 파악하고 방어해야 합니다.

이러한 공격 표면은 매우 광범위하지만, 이를 방어하기 위한 다양한 시스템과 서비스가 존재합니다. 그러나 지능형 지속 위협의 잠재적으로 치명적인 결과를 예방하거나 완화하려면 반드시 모든 인적 요소에 대한 높은 인식이 동반되어야 합니다.