1. APT(Advanced Persistent Threat)란?
APT 공격은 특정 조직을 타깃(대상)으로 다양한 해킹 기법들을 이용하여 지속적으로 공격을 수행하는 행위를 말한다. APT의 공격은 다양한 경로(이메일, 웹사이트, USB 등)를 이용해 악성코드 배포로 타깃 PC에 침투한 후 해당 타깃의 정보 및 구조를 탐색하여 지속적으로 공격 및 데이터 수집을 하는 공격이다. 추가적으로 얻은 정보들을 유출하여 금전적 이득을 노리는 해커들도 많다. 최근 많이 언급된 랜섬웨어 공격도 APT 공격의 연장 공격으로 볼 수 있다.
2. 공격원리
APT의 공격 방식은 우선, 공격자는 각종 다양한 수단을 활용해 취약한 PC에 악성코드를 심으려 한다. 공격자는 피싱 메일을 보내거나 스피어 피싱 방식(익숙한 송신자로 수신자로 하여금 믿도록 피싱), 소셜 엔지니어링 등 다양한 접근방식으로 시도한다.
악성코드가 심어 지고 나면 공격자는 해당 타깃의 네트워크 구조, 시스템, 계정에 관한 정보를 탐색하고 내부망에 접근한다.중요한 건, 내부망으로 접근한 후 데이터를 조금씩, 지속적으로 탐색하고 데이터를 수집해 탈취하는데 이는 타깃이 알아차리지 못하게 하기 위해 조심스레 계속 공격하여 장기적으로 공격한다고 보면 된다. 실제로도 APT 공격 전/후의 트래픽 양의 차이가 크지 못해 공격을 알아채지 못하는 경우가 많다고 한다.
마지막으로 민감한 정보나 데이터를 탈취하고 나면 공격자는 금전적 이익을 요구하기도 하고 데이터들을 교환하거나 유출하는 등의 공격을 한다.
위의 공격 방식은 지속적이고 장기적으로 시도해오고 있기 때문에 많은 기업들에선 보안관제를 통해 잡아내거나 APT 솔루션들을 통해 탐지하여 빠르게 대응해나가고 있다.
3. 공격기법
1) 스피어 피싱(Spear Phishing)
익숙한 송신자로하여금 특정대상한테 이메일로 악성코드를 공격하는 방식으로, 이메일 본문에 URL 링크를 포함하거나 첨부파일에 정상적인 파일로 가장한 파일을 첨부하여 공격하는 방법이다.
2) 워터링 홀
웹사이트를 통해 악성코드를 설치하는 공격하는 방식으로, 타겟 대상자가 방문할 가능성이 높은 웹사이트를 감염시킨 후 잠복하면서 피해자의 컴퓨터에 악성코드를 추가로 공격하는 방법이다.
4. 참고자료
https://blog.naver.com/gs_info/221551194282
https://namu.wiki/w/Advanced%20Persistent%20Threat
https://blog.skbroadband.com/739
'Security & Hacking > ☆BASIC☆' 카테고리의 다른 글
| [DLP] DLP(Data Loss Prevention)이란? (0) | 2021.08.08 |
|---|