보안

차세대 사이버 공격 전략 APT의 다섯 가지 징후

Roger A. Grimes | InfoWorld 2012.10.18
APT 징후 3 : 예상 밖의 정보 흐름
APT 활동을 포착할 단 하나의 방법을 꼽으라면, 필자가 선택할 방법은 이것이다. 
 
내부 지점에서 출발해 다른 내부, 혹은 외부 컴퓨터로 흘러가는 예기치 않은 대규모 데이터 흐름이 있는지 확인해보라. 이는 서버와 서버 간에, 혹은 서버와 클라이언트 사이에서나 두 네트워크 사이에서도 발생할 수도 있다.
 
이런 데이터 흐름은 해외 수신 이메일만을 선택하는 등으로 타겟팅(targeting)된 방식으로 이뤄질 수도 있다. 
 
그러나 모든 이메일 클라이언트들이 사용자의 최근 로그인 및 이메일 선택 기록이나 최근 메시지 접속 기록 등을 사용자에게 제공할 수 있어야 한다. 이런 기능의 경우 지메일을 비롯한 몇몇 클라우드 이메일 시스템에서 지원되고 있다. 
 
물론 APT 해킹의 가능성을 포착하기 위해서는 자신의 환경이 침입을 받기 전에 데이터 흐름 형태를 이해해두는 노력이 필요할 것이다. 지금 당장 작업을 시작해 자신만의 기준을 확립해두자. 
 
APT 징후 4 : 예기치 않은 데이터 묶음 발견
APT 해커들은 훔쳐낸 데이터를 밖으로 빼내기 전에 내부 수집 지점에 보관해두곤 한다. 데이터가 있을 필요가 없는 위치에 대규모의, 기가바이트 규모의 데이터가 있는지 확인해보자. 특히 기업에서 일반적으로 사용되지 않는 문서 포맷으로 압축된 데이터일 경우가 많다. 
 
APT 징후 5 : 패스더해시 해킹 툴 발견
매번은 아니지만 APT 해커는 패스더해시(pass-the-hash) 해킹 툴을 꽤나 자주 사용한다. 그리고 이상하게도 해커는 사용 후 이를 삭제하는 경우를 잊는 경우가 많다. 기업 환경 내부의 어딘가에서 패스더해시 툴을 발견한다면, 한번 조사를 시행해봐야 한다. 
 
별도로 번호를 매길 정도는 아니지만 주의가 필요한 여섯 번째 징후가 있는데, 바로 기형 어도비 애크로뱃(Adobe Acrobat) PDF 파일을 통해 전달되는 스피어 피싱(spearphishing)에도 주의를 기울이라는 것이다. 
 
이는 APT 공격의 감염 인자인 경우가 많기 때문이다. 이것을 앞서 설명한 다섯 징후들과 나란히 놓고 설명하지 않은 이유는 어도비 애크로뱃은 모든 곳에서 활용되고 있기 때문이다. 
 
그러나 기업 환경에 스피어 피싱의 징후가 발견된다면, 예를 들어 어떤 임원이 PDF 형식으로 첨부된 파일에 속았다는 이야기가 들려온다면, 다섯 가지 징후에 대해 보다 면밀한 점검을 시행해봐야 할 것이다. 어쩌면 이미 어딘가에서 침입을 위한 구멍이 생겨나고 있을지도 모른다. 
 
APT 공격은 어느 기업에게나 커다란 골칫거리를 안겨줄 것이다. 모두들 조금만 더 예방과 사전 대비에 주의를 기울인다면, 좀더 효율적으로 사이버 범죄자들로부터 기업의 정보들을 지켜낼 수 있을 것이다. editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.