보안

표적 사이버 공격의 6단계

Michelle Drolet | Network World 2017.02.13
표적화된 공격을 방어하기 위해 알아야 할 것들이 있다. 공격자의 사고방식을 이해하면 견고한 방어 계획을 수립하고 효과있는 대응 계획을 수립하는데 도움이 될 수 있다.



기업에 대한 표적 공격의 위협은 실제적이고 상당히 많다. 자사에서 끊임없이 진화하는 위협을 식별하고, 비정상적인 활동을 찾아내고, 데이터를 안전하게 유지하기 위한 효과적인 조치를 취하는 것은 매우 중요하다.

마이크로소프트에 따르면, 공격자들은 그들이 탐지되기 전까지 평균적으로 140일 이상 네트워크에 있으며, 네트워크 침입의 60%가 자격 증명으로 추적된다.

대부분의 성공적인 표적 공격은 대체로 6단계를 거치는데, 때로는 이런 공격 단계는 병렬적으로 실행된다는 점을 기억해야 한다. 또한 다각적인 공격이 일반적이므로, 강력한 위협 대응 계획은 6단계 모두를 다뤄야하며, 섣불리 결론을 도출해서는 안된다.

이는 단지 최신의 안전 장치나 소프트웨어 도구를 이행하는 것이 아니다. 데이터를 안전하게 유지하기 위해서는 인식이 가장 중요하다. 결국 사이버 보안 수준은 가장 약한 연결점인 직원들의 의식 수준만큼이다.

정보 수집하기
모든 공격은 공격자가 목표에 대한 데이터를 수집하는 정찰 임무에서 시작한다. 그러나 이 단계는 표적 공격의 수명 주기 내내 계속된다.

네트워크 운영 또는 취약점이 있는 곳에서 공격자들이 찾을 수 있는 데이터가 많으면 많을수록 공격 성공 가능성은 높아진다. 이 많은 데이터는 기업 네트워크 내에서만 접속할 수 있기 때문에 정보 수집은 초기 침입 이후에도 계속된다.

진입점 찾기 또는 생성
스피어 피싱(Spear phishing) 이메일은 여전히 효과적이다. 버라이즌 연구에 따르면, 놀랍게도 이 이메일 가운데 30%를 열어본다. 공격자들은 네트워크의 전체 그림을 그리기 위해 다양한 직원들을 표적으로 삼을 수 있다.

표적이 된 조직을 침입하고 네트워크에 진입하기 위해 자주 방문하는 웹사이트에 함정을 파놓는 워터링 홀 공격(Watering Hole Attack)은 인기가 높아지고 있다. 일단 공격자들은 오래된 경로가 발견되어 폐쇄될 때를 감안해 시스템에 가능한 한 많은 백도어를 추가하면서 더많은 진입점을 만들어놓는다.

C&C(Command and control)
효과적인 표적 공격을 위해 공격자들은 감염된 컴퓨터와 다른 기기들을 제어하고 서로 간에 통신이 필요하다. 이 통신은 특정 노이즈를 생성한다.

공격자들은 이런 C&C 트래픽을 숨기기 위해 많은 노력을 기울이고 있으며, 종종 악용할 수 있는 내부 서버를 만든 다음, 표적 네트워크에 다른 컴퓨터에 침입하고 제어하는 데 사용한다.

측면 이동(Lateral movement)
많은 보안 시스템이 공격자들로부터 보호하기 위해 설계된 벽을 만드는데 초점을 맞추고 있다. 처음 특정 시스템에 접속하는 것은 어려울 수 있지만, 일단 한 시스템에 들어가기만 하면 옆으로 퍼져 많은 정보에 접속하는 것은 훨씬 간단한 일이다.

경우에 따라 적법한 시스템 관리 도구를 사용해 공격 활동을 숨기고 침입한 계정과 기기에 더 많은 권한을 부여하고 공격을 영구적으로 유지하는 방법에 대한 정보를 수집하는 경우도 있다.

공격 유지하기
표적 공격은 단순히 1회성으로 때리거나 잡는 문제가 아니다. 종종 이들은 수개월 또는 수년동안 발견되지 않은 채 유지되도록 설계된 지속적인 침투 방법을 사용한다.

가치있는 데이터가 계속 노출되는 동안 공격자는 공격을 유지하는 데 관심을 두고 있다. 이는 제어력을 확산시키고, 새로운 진입점을 만들고, 심지어 다른 공격자가 더 이상 진입하지 못하도록 취약점을 패치하는 것을 의미한다.

데이터 추출하기
결국 데이터 유출 문제가 발생한다. 보통 이 단계가 공격 전체로 보이지만, 이는 위험 단계 가운데 하나에 불과하다. 데이터를 추출하는 것은 공격을 노출할 수 있는 네트워크 트래픽을 생성하지 않고서는 사실상 불가능하다. 도난당한 데이터는 나중에 추출하기 위해 표적 네트워크 내 어딘가에 숨겨둘 수도 있다. 공격자는 발견 위험성을 감수하고 숨겨질만큼 충분히 큰 장소를 만들거나 네트워크 트래픽을 숨길 수 있는 방법을 찾는다.

더 넓은 인터넷에서부터 보안 방어 수단을 구축하는 것이 합리적이고 가치가 있지만, 조직은 내부 트래픽과 시스템을 면밀히 조사해야 한다. 보안에 대해 지속적으로 모니터링, 분석, 그리고 테스트하는 것만이 표적 공격을 발견하고 막을 수 있다. editor@itworld.co.kr  

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.