APT (Advanced Persistent Threat) – 지능형 타깃 위협

 

APT? 흔히 한국에서 APT 3글자를 보면 Apartment(아파트)를 많이 떠올릴 수 있으나 아파트가 아니라 Advanced Persistent Threat (지능형 타깃 위협) 의 줄임말로 다양한 IT 기술과 방식들을 이용해 경제적이거나 정치적인 목적을 위해 다양한 보안 위협들을 생산해 조직적이고 지속적으로 특정 대상에게 공격을 가하는 일련의 행위를 뜻한다.

APT는 SK커뮤니케이션즈나 넥슨 사례에서 보듯 초기 기획부터 대상을 명확히 설정, 집중적으로 공격한다. 이런 점에서 불특정 다수에게 행해지는 피싱공격이나 트로얀(Trojan) 공격과 구별된다. 일반적으로 APT는 경제적 이득이 큰 경우 행해진다. 전용 악성코드, 익스플로이트 킷 구입 및 봇넷 등 대여를 위해 충분한 비용을 투자하고 전문 인력도 장기간 투입한다. APT는 조직 핵심 자원을 직접 공격하지 않고 조직 구성원인 개인을 공격한다. 일반적으로 조직 내 개인이 사용하는 PC는 주요 서버에 비해 상대적으로 관리가 취약한 편이다. APT에서는 이러한 PC를 공격 침입 경로로 이용해 효과적이고 은밀하게 조직 내부에 침투한다.

다른 특징은 사회공학적인 방법까지 활용하고 있다는 점이다. APT는 소셜 네트워크 검색을 비롯한 다양한 경로의 정보 수집 및 철저한 사전 조사로 대상에 최적화된 공격을 수행한다. 예를 들면 조직 내부 PC를 감염시키기 위해 악성코드가 삽입된 이메일을 해당 PC사용자 업무와 관련된 내용으로 발송하거나 해당 사용자가 자주 이용하는 웹 사이트를 해킹해 악성코드를 배포하기도 한다.

APT가 지능적이라고 하는 것은 그것이 탐지를 회피하기 위해 ‘로우 앤 슬로우(Low and slow)’ 전략을 사용한다는 데 있다. 해당 공격을 위한 전용 악성코드를 신규로 제작해 안티 바이러스 솔루션 탐지를 회피한다. 해당 악성코드를 특정 공격 대상에게만 배포해 해당 파일이 발각될 확률도 적다. 80·443 등 알려진 포트로 감염된 내부 PC로부터 외부 원격 조종 서버로 연결을 하며 오랜 시간을 투자해 은밀하게 활동한다.

내부에서 획득한 정보를 반출하기 위해 자체 개발한 암호화 방식을 사용하거나 데이터 은닉기술(Steganography)을 이용해 소량씩 여러 번에 걸쳐 전송한다. 이러한 공격 전략은 기존 바이러스 백신 탐지를 회피해 방화벽 및 침입탐지 솔루션을 우회하고 보안관제에 탐지되지 않는 특성을 가진다.

 

This entry was posted in Security/Hacking and tagged , . Bookmark the permalink.

댓글 남기기