APT-1 (APT 공격이란 무엇인가?)

APT 공격의 정의 및 공격 단계가 궁금합니다.

APT는 Advanced Persistent Threat의 약자로 풀어서 지능형 지속 공격이라고 할 수 있습니다. 일정한 절차나 특정 기술을 계속 반복해서 사용하는 공격이 아니고, 계속 신규로 개발되는 새로운 전술과 기술을 이용하여 다양하게 진화하는 공격으로, DDoS와 같이 단시간 내에 공격이 이루어지지 않고, 짧게는 수일에서 길게는 수년 단위로 공격이 지속되는 공격 유형을 말합니다.

사실상 최근에 이루어지는 대부분의 공격이 이런 APT 공격의 특성을 가지고 있습니다. 지난 글에서 설명한 DDoS 공격 혹은 각종 홈페이지 해킹사고 등도 이런 APT 공격에서 특정 단계에 해당하는 공격으로 인터넷 초창기의 실력 좋은 해커 한 명이 취미로 하는 공격이 아니고, 최근부터는 자생적으로 조직된 해커집단이나 국가의 후원을 받는 조직이 금전적이나 정치적인 이유로 고도로 전문화된 방식을 사용하는 공격이 대부분입니다.

아래 <그림 1>은 최근 APT 공격을 통해 공격자가 달성하려는 목적을 기술하였습니다. 이제 단순한 호기심 차원에서 개인적인 욕망이 아니라 특정한 목적을 설정하고 공격이 시작됩니다. DDoS 등을 통한 경쟁사나 협박 대상에 대한 서비스 방해 일수도 있고, 조직의 고객정보 등의 높은 가치를 가지는 데이터를 이용한 금전적인 수익이나 인터넷에 공개하는 행위 일 수도 있으며, 정치적 혹은 민족주의적 목적이나 국가적인 이익을 위해 특정 조직에 대한 테러행위 등 다양한 목적을 달성하기 위해 공격이 이루어지고 있습니다.

특히 요즘의 코로나 사태에 따른 백신이나 치료제에 대한 연구내용은 현재 가장 가치가 높은 정보로 이런 연구를 수행하는 의약품 연구조직은 공격 그룹이 우선적으로 노리는 타깃이 되고 있습니다.

< 그림 1 >  APT 공격을 통해 달성하려는 목적 (출처 : FireEye)

그럼 APT 공격이 이루어지는 방식을 설명해 보도록 하죠. 다양한 벤더나 전문가들이 APT 공격에 대한 다양한 방법으로 공격 양상을 설명하고 있는데 필자는 파이어아이(FireEye)라는 APT 방어 장비 업체의 모델을 설명하도록 하겠습니다.

아래 <그림 2>과 같이 공격자는 타깃으로 설정한 조직에 대해 다양한 정보를 수집하여 침투 방식을 결정하고, 조직 구성원의 단말에 악성코드를 은밀하게 설치하여 거점을 확보하게 됩니다. 다음 단계로 이 거점에서 권한을 상승시켜 관리자 권한을 획득하여 해당 단말을 완전히 제어 가능하게 만든 다음 조직의 다양한 전산자원에 대한 정보를 수집합니다.

거점 주위의 다른 단말과 사내 서버까지 모두 접속 권한을 확보한 후에는, 지속적으로 접속 가능한 안전통로(backdoor)를 확보하여 언제나 접속이 가능하게 관리합니다. 이후 오랜 시간 동안 조직의 정보를 탈취하거나, 정보를 암호화시켜 협박하거나, 혹은 특정한 D-Day를 설정하여 일시에 전산자원을 파괴시키는 등 임무를 완수하는 방식으로 공격이 이루어집니다.

< 그림 2 >  APT 공격의 진행 단계 (출처: FireEye)