국가가 후원하는 사이버 범죄 팀은 종종 다른 국가의 민감한 정보나 대규모 조직의 지적 재산에 액세스하기 위해 APT 공격을 감행합니다. 이러한 위협 행위자는 처음에는 기존의 소셜 엔지니어링 기술을 사용하기도 하지만, 고급 도구와 방법을 각색해서 특정 조직의 고유한 취약점을 공략하기도 한다고 알려져 있습니다. 성공적인 APT 공격은 몇 달 또는 몇 년 동안 지속될 수 있습니다.
Think 뉴스레터
Think 뉴스레터를 통해 AI, 사이버 보안, 데이터 및 자동화에 대한 선별된 뉴스를 제공하는 보안 리더들과 함께하세요. 받은 편지함으로 직접 제공되는 전문가 튜토리얼과 설명서를 통해 빠르게 배울 수 있습니다. IBM 개인정보 보호정책을 참고하세요.
구독한 뉴스레터는 영어로 제공됩니다. 모든 뉴스레터에는 구독 취소 링크가 있습니다. 여기에서 구독을 관리하거나 취소할 수 있습니다. 자세한 정보는 IBM 개인정보 보호정책 을 참조하세요.
APT 그룹은 종종 소셜 엔지니어링과 스피어 피싱을 통해 표적 네트워크에 대한 초기 액세스 권한을 확보합니다. APT 공격자는 조직 내부 및 외부의 소스에서 수집한 인텔리전스를 사용하여 경영진이나 고위 경영진이 악성 링크를 클릭하도록 유도하는 정교한 스피어 피싱 이메일을 작성합니다.
공격자는 네트워크에 침투하기 위해 다른 진입 지점과 공격 표면을 추적할 수도 있습니다. 예를 들어, 웹 애플리케이션의 패치되지 않은 취약점에 대해 제로데이 공격을 시작하거나 직원들이 자주 방문하는 것으로 알려진 공개 웹사이트에 맬웨어를 삽입할 수 있습니다.
초기 침입 후 APT 그룹은 네트워크를 탐색하고 매핑하여 조직 전체에서 수평 이동을 위한 차선책을 결정합니다. 여러 진입점에서 네트워크에 접근하는 일련의 백도어를 설치하면 정찰을 계속하고 멀웨어를 몰래 설치할 수 있습니다.
암호를 해독하고 민감한 데이터가 있는 보안 영역에 대한 관리자 권한을 얻으려고 시도할 수도 있습니다. 가장 중요한 것은 공격자가 해킹된 시스템을 원격으로 관리하기 위해 외부 명령 및 제어 서버에 연결을 생성한다는 점입니다.
APT 그룹은 데이터 유출의 첫 인스턴스를 준비하면서 지금까지 수집해온 정보를 네트워크 안에 있는 안전하고 중앙화된 위치로 옮깁니다. 그리고 데이터를 쉽게 반출할 수 있도록 암호화하고 압축하기도 합니다.
그런 다음 보안 담당자의 주의를 분산시키고 리소스를 다른 곳으로 돌리기 위해 분산 서비스 거부(DDoS) 공격과 같은 '화이트 노이즈' 이벤트를 일으킬 수 있습니다. 이 시점에서 공격자는 훔친 데이터를 탐지를 피해 외부 서버로 전송할 수 있습니다.
APT 그룹은 새로운 공격 기회를 기다리면서 침해된 네트워크 내부에 장기간 또는 무기한 머물러 있을 수 있습니다. 이 기간 동안 맬웨어를 숨기기 위해 코드를 재작성하고, 탐지되지 않고 민감한 시스템에 액세스할 수 있는 루트킷을 설치하여 존재를 계속 숨길 수 있습니다. 경우에 따라서는 공격의 증거를 제거하고 목적을 달성한 후 네트워크를 완전히 떠나기도 합니다.
APT 그룹은 광범위하게 배포된 피싱 이메일, 고도로 개인화된 스피어 피싱 이메일 또는 기타 소셜 조작 전술을 사용하여 사용자가 악성 링크를 클릭하거나 보호된 시스템에 대한 액세스 권한을 부여하는 정보를 공개하도록 유도합니다.
APT 그룹은 패치되지 않은 소프트웨어 취약점을 찾기 위해 네트워크를 스캔하는 악성 셸코드를 배포함으로써 IT 관리자가 대응하기 전에 취약한 영역을 악용할 수 있습니다.
APT 그룹은 조직의 신뢰할 수 있는 비즈니스, 기술 또는 공급업체 파트너를 표적으로 삼아 공유 소프트웨어 또는 하드웨어 공급망을 통해 무단 액세스 권한을 얻을 수 있습니다.
보호된 시스템의 숨겨진 백도어 액세스를 제공할 수 있는 기능을 갖춘 루트킷은 APT 그룹이 원격 작업을 숨기고 관리하는 데 도움이 되는 유용한 도구입니다.
APT 그룹이 침해된 네트워크에 거점을 확보하면 자체 외부 서버에 연결을 설정하여 공격을 원격으로 관리하고 중요한 데이터를 유출합니다.
APT 그룹은 웜, 키로깅, 봇, 암호 크래킹, 스파이웨어 및 코드 난독화 등 다양한 도구를 사용하여 네트워크에서 자신의 존재를 확장하고 은폐할 수 있습니다.
놀라울 정도로 치밀하고 설득력 있는 스피어 피싱 이메일로 유명한 Helix Kitten은 이란 정부의 감독 하에 활동하는 것으로 알려져 있습니다. 이 그룹은 주로 항공우주, 통신, 금융 서비스, 에너지, 화학 및 접객업과 같은 산업 전반에 걸쳐 중동 기업을 대상으로 합니다. 분석가들은 이러한 공격이 이란의 경제적, 군사적, 정치적 이익을 위한 것으로 보고 있습니다.
Wicked Panda는 중국 국가안전부 및 중국 공산당과 관련이 있는 것으로 알려진 악명 높고 활동적인 중국 기반의 APT 그룹입니다. 사이버 스파이 활동을 수행하는 것 외에도 이 그룹의 구성원은 재정적 이익을 위해 회사를 공격하는 것으로도 알려져 있습니다. 이들은 의료 공급망 해킹, 생명공학 기업의 민감한 데이터 도용, 미국 내 코로나19 구호금 절도 등의 범죄를 저지른 것으로 추정됩니다.
Stuxnet은 이란의 핵 프로그램을 방해하는 데 사용된 컴퓨터 웜으로, 감시 제어 및 데이터 수집(SCADA) 시스템을 표적으로 삼았습니다. 현재는 더 이상 활동하지 않지만, 2010년 발견 당시에는 표적에 상당한 피해를 입히는 강력한 위협으로 여겨졌습니다. 분석가들은 Stuxnet이 미국과 이스라엘이 공동 개발한 것으로 보고 있지만, 두 국가 모두 공개적으로 책임을 인정하지 않고 있습니다.
Lazarus Group은 수억 달러의 가상 화폐를 훔친 것으로 추정되는 북한 기반의 APT 그룹입니다. 미국 법무부는 해당 범죄가 글로벌 사이버 보안을 약화시키고 북한 정부의 수익을 창출하기 위한 전략의 일환이라고 보고 있습니다. 2023년, 미국 FBI는 Lazarus Group을 온라인 카지노에서 4,100만 달러의 가상 화폐를 훔친 혐의로 기소했습니다.
APT 공격은 정상적인 네트워크 운영을 모방하도록 설계되었기 때문에 탐지하기 어려울 수 있습니다. 전문가들은 보안 팀이 표적이 된 것으로 의심되는 경우 물어봐야 할 몇 가지 권장 질문들을 제시했습니다.
APT 위협 행위자는 민감한 정보에 대한 액세스 권한이 있는 고가치 사용자 계정을 표적으로 삼습니다. 이러한 계정은 공격 중에 비정상적으로 많은 양의 로그온을 경험할 수 있습니다. 또한 APT 그룹은 종종 서로 다른 시간대에 활동하기 때문에 이러한 로그온은 늦은 밤에 발생할 수 있습니다. 조직은 엔드포인트 탐지 및 대응(EDR) 또는 사용자 및 엔티티 행동 분석(UEBA) 등의 도구를 사용하여 사용자 계정에서 비정상적이거나 의심스러운 활동을 분석하고 식별할 수 있습니다.
대부분의 IT 환경에는 백도어 트로이 목마가 존재하지만, APT 공격이 발생하면 트로이 목마가 널리 퍼질 수 있습니다. APT 그룹은 침해된 시스템에 다시 진입하기 위한 백업으로 백도어 트로이 목마를 사용합니다.
데이터 전송 활동이 정상적인 기준에서 크게 벗어나는 경우 APT 공격을 의심해볼 수 있습니다. 데이터베이스 작업이 갑작기 증가하거나 대량의 정보가 내부 또는 외부로 전송되는 경우가 여기에 해당할 수 있습니다. 보안 정보 및 이벤트 관리(SIEM) 또는 네트워크 탐지 및 대응(NDR)과 같은 데이터 소스의 이벤트 로그를 모니터링하고 분석하는 도구는 이러한 인시던트에 플래그를 지정하는 데 유용할 수 있습니다.
APT 그룹은 일반적으로 네트워크 전체에서 대량의 데이터를 수집한 후 해당 정보를 중앙 위치로 이동한 후 유출합니다. 이상한 위치에 있는 대용량 데이터 묶음, 특히 압축된 형식의 데이터는 APT 공격의 징후일 수 있습니다.
소수의 고위급 리더를 표적으로 삼는 스피어 피싱 공격은 APT 그룹에서 흔히 사용하는 전술입니다. 이러한 이메일에는 기밀 정보가 포함되어 있는 경우가 많으며 악성 소프트웨어를 실행하기 위해 Microsoft Word 또는 Adobe Acrobat PDF와 같은 문서 형식을 사용합니다. 파일 무결성 모니터링(FIM) 도구는 조직이 스피어 피싱 이메일에 포함된 맬웨어로 인해 중요한 IT 자산이 변조되었는지 탐지하는 데 도움이 될 수 있습니다.
APT 해커가 시스템에 무단으로 액세스하는 위험을 완화하기 위해 조직이 취할 수 있는 보안 조치가 있습니다. APT 그룹은 각 공격 벡터에 대해 지속적으로 새로운 방법을 적용하기 때문에 전문가들은 다음과 같은 여러 보안 솔루션과 전략을 결합한 광범위한 접근 방식을 권장합니다.