2012.10.18

차세대 사이버 공격 전략 APT의 다섯 가지 징후

Roger A. Grimes | InfoWorld
APT(Advanced Persistent Threats, 지능형 지속 위협) 전략을 구사하는 해커들은 이전 해커와는 다른 혈통을 지닌 범죄자다. 
 
APT 해커들은 전문적인 팀을 이뤄 조직적으로 활동하며 전세계의 기업과 네트워크들에 실제적이고 지속적인 위협을 가하고 있다. 그들의 목표는 기밀 프로젝트 계획서나 계약 문서, 특허 정보와 같은 주요 지적 자산을 훔쳐내는데 있다. 
 
APT 해커들 역시 악성코드 침투에는 피싱(phishing) 이메일과 같이 이미 널리 알려진 방법을 활용하지만, 그들의 궁극적인 목표는 이전의 범죄자들이 지향하던 것보다 훨씬 더 무시무시하다. 
 
만일 당신이 발견해 낸 어떤 침입 흔적이 기업의 돈을 훔쳐내는 것 이외에 다른 목적을 두지 않는 것으로 보인다면, 이는 APT 해커의 소행은 아닐 것이다. APT 해커라면, '기업 자체'를 노릴 것이기 때문이다. 
 
APT 해커의 범죄 수법은 일반적인 해커들의 그것과는 다소 차이를 보이며, 때문에 지금까지 보안 전문가들이 포착해오던 것과는 다른 징후들을 남긴다. 
 
지난 10년 간의 연구를 통해 필자는 기업에 APT 보안 위협이 가해지고 있을 경우 발견되는 다섯 개의 대표적인 징후들을 발견할 수 있었다. 이 징후들은 표면적으로는 합법적인 비즈니스 활동의 모습을 띄고 있지만, 그 맥락적 특성이나 활동 규모 등의 측면에서 APT 위협의 가능성을 보여준다. 
 
APT 징후 1 : 밤 시간 고급 계정을 통한 로그온 증가
APT 해커는 하나의 컴퓨터로부터 시작해 빠른 시간 안에 전체 환경을 장악해 나간다. 이들은 인증 데이터베이스를 읽고 자격 인증을 훔쳐내는, 그리고 이를 재사용하는 방식으로 이 과정을 진행해 나간다. APT 해커는 어떤 사용자, 혹은 서비스의 계정이 보다 많은 권한과 승인을 부여받는 지를 파악하고 이 계정을 통해 기업의 자산을 빼낸다. 
 
또한 이와 같은 해킹은 제3국에서 이뤄지는 경우가 많기 때문에 이 과정에서 한밤중에 특정 고급 계정의 로그온 횟수가 급격히 증가하는 모습이 발견되곤 한다. 만일 어느 날 밤 특정 고급 계정의 로그온 횟수가 급증했다면, 그리고 해당 계정의 이용 권한을 가진 이는 당시 집에서 쉬고 있었다고 말한다면, 범죄의 가능성을 의심해보자. 
 
APT 징후 2 : 백도어 트로이 목마의 출현
APT 해커는 침투한 환경의 불안정한 컴퓨터에 백도어 트로이 프로그램(backdoor Trojan program)을 설치한다. 사용자가 침입을 눈치 채 로그온 자격을 바꾸더라도 지속적으로 환경에 접근하기 위해서다. 
 
이런 이유로 APT 해커들은 침입이 발각되더라도 일반 해커들처럼 도망가지 않는다. 그들은 이미 내부에 자신들의 컴퓨터를 심어놓고 있으며, 이는 법적으로도 아무런 문제가 되지않기 때문이다. 
 
최근 트로이 프로그램은 사회 공학적(social engineering) 기법을 통해 기업 내부로 침투를 가속화하고 있다. 이 트로이 프로그램들은 모든 환경에서 흔히 발견되며, 이를 통한 APT 공격 역시 증가하는 추세를 보이고 있다. 
 


2012.10.18

차세대 사이버 공격 전략 APT의 다섯 가지 징후

Roger A. Grimes | InfoWorld
APT(Advanced Persistent Threats, 지능형 지속 위협) 전략을 구사하는 해커들은 이전 해커와는 다른 혈통을 지닌 범죄자다. 
 
APT 해커들은 전문적인 팀을 이뤄 조직적으로 활동하며 전세계의 기업과 네트워크들에 실제적이고 지속적인 위협을 가하고 있다. 그들의 목표는 기밀 프로젝트 계획서나 계약 문서, 특허 정보와 같은 주요 지적 자산을 훔쳐내는데 있다. 
 
APT 해커들 역시 악성코드 침투에는 피싱(phishing) 이메일과 같이 이미 널리 알려진 방법을 활용하지만, 그들의 궁극적인 목표는 이전의 범죄자들이 지향하던 것보다 훨씬 더 무시무시하다. 
 
만일 당신이 발견해 낸 어떤 침입 흔적이 기업의 돈을 훔쳐내는 것 이외에 다른 목적을 두지 않는 것으로 보인다면, 이는 APT 해커의 소행은 아닐 것이다. APT 해커라면, '기업 자체'를 노릴 것이기 때문이다. 
 
APT 해커의 범죄 수법은 일반적인 해커들의 그것과는 다소 차이를 보이며, 때문에 지금까지 보안 전문가들이 포착해오던 것과는 다른 징후들을 남긴다. 
 
지난 10년 간의 연구를 통해 필자는 기업에 APT 보안 위협이 가해지고 있을 경우 발견되는 다섯 개의 대표적인 징후들을 발견할 수 있었다. 이 징후들은 표면적으로는 합법적인 비즈니스 활동의 모습을 띄고 있지만, 그 맥락적 특성이나 활동 규모 등의 측면에서 APT 위협의 가능성을 보여준다. 
 
APT 징후 1 : 밤 시간 고급 계정을 통한 로그온 증가
APT 해커는 하나의 컴퓨터로부터 시작해 빠른 시간 안에 전체 환경을 장악해 나간다. 이들은 인증 데이터베이스를 읽고 자격 인증을 훔쳐내는, 그리고 이를 재사용하는 방식으로 이 과정을 진행해 나간다. APT 해커는 어떤 사용자, 혹은 서비스의 계정이 보다 많은 권한과 승인을 부여받는 지를 파악하고 이 계정을 통해 기업의 자산을 빼낸다. 
 
또한 이와 같은 해킹은 제3국에서 이뤄지는 경우가 많기 때문에 이 과정에서 한밤중에 특정 고급 계정의 로그온 횟수가 급격히 증가하는 모습이 발견되곤 한다. 만일 어느 날 밤 특정 고급 계정의 로그온 횟수가 급증했다면, 그리고 해당 계정의 이용 권한을 가진 이는 당시 집에서 쉬고 있었다고 말한다면, 범죄의 가능성을 의심해보자. 
 
APT 징후 2 : 백도어 트로이 목마의 출현
APT 해커는 침투한 환경의 불안정한 컴퓨터에 백도어 트로이 프로그램(backdoor Trojan program)을 설치한다. 사용자가 침입을 눈치 채 로그온 자격을 바꾸더라도 지속적으로 환경에 접근하기 위해서다. 
 
이런 이유로 APT 해커들은 침입이 발각되더라도 일반 해커들처럼 도망가지 않는다. 그들은 이미 내부에 자신들의 컴퓨터를 심어놓고 있으며, 이는 법적으로도 아무런 문제가 되지않기 때문이다. 
 
최근 트로이 프로그램은 사회 공학적(social engineering) 기법을 통해 기업 내부로 침투를 가속화하고 있다. 이 트로이 프로그램들은 모든 환경에서 흔히 발견되며, 이를 통한 APT 공격 역시 증가하는 추세를 보이고 있다. 
 


X