Download pdf - Bluecoat security report1_apt

백서

블루코트 보안 보고서: APT(지능형 타깃 지속 공격, Advanced Persistent Threats) >

1 < >

블루코트 보안 보고서: APT(지능형 타깃 지속 공격, Advanced Persistent Threat)

콘텐츠

주요 내용 2

APT 이해 3

매스마켓(불특정 다수 대상) 악성코드 vs. APTs(지능형 타깃 지속 공격) 3

강화된 스피어 피싱 4

명확한 목표 4

제로 데이 취약성 및 익스플로이트 5

내부자 위협 5

APT 라이프 사이클 6

조사 단계 7

진입 단계 8

침투 단계 9

수확 단계 9

APT 공격 전략에 따른 APT 방어 전략 필요 9

로그 파일을 사용하여 각 부분 연결 9

AV, 웹 필터, 패치 10

내부자 위협 11

계층형 방어 11

ProxySG 12

WebFilter 12

WebPulse 12

ProxyAV 13

Reporter 13

보안 클라우드 서비스 13

Blue Coat DLP 13

PacketShaper 14

결론 14

참조 자료 15

2 < >


주요 내용APT(지능형 타깃 지속 공격, Advanced Persistent Threat)는 기술, 프로세스 및 사용자 교육을 통한 방어 메커니즘을 피할 수 있도록 치밀하게 조사하고 사전에 면밀히 계획된 공격입니다. 매스마켓 악성코드 공격과 달리, APT는 특정 조직이나 그룹을 대상으로 하는 특화된 공격이며, 일반적인 악성코드, 피싱, 해킹, 스파이웨어 및 기타 도구를 종합적으로 폭넓게 사용하여 조직적으로 진행됩니다. 이러한 위협에 IT의 관할권을 벗어나는 내부자 또는 기타 물리적인 보안 취약성이 관련될 수도 있지만, 본 문서에서는 주로 IT 내부의 문제에 대해 다룹니다.

APT는 새로운 종류의 위협이 아닙니다. 기원은 1990년대까지 거슬러 올라가지만 지난 몇 년 동안은 특히 크게 증가하여 기업 보안 문제에서 중요한 고려사항이 되었습니다. 전에는 주로 정부 기관1, 계약자2 공급업체를 대상으로 했지만3 민간 부문에도 급속도로 퍼져 ExxonMobil, British Petroleum4, RSA5, Heartland Payment Systems, TJX6, Sony7, Google 등에도 공격을 가했습니다.8 또한 APT가 한 번의 사건으로 일어나지 않으므로, 조직에서 진행 중인 공격을 차단하기 위해서는 더 종합적으로 경고와 정보를 활용할 방법이 필요합니다. 조직에서 APT 공격을 의심할 무렵이면 이미 피해를 입은 경우가 많습니다.

성공적인 APT 보안 전략을 위해서는 경영진의 후원과 지원이 필요합니다. 그러나 2011년의 Ponemon Institute 보고서에 따르면 조사 대상 IT 조직 중 16%에서만 상급 경영진이 이 위협에 대해 충분히 알고 있는 것으로 드러났습니다.9 다행스러운 점은, 대부분의 조직에 APT 방어를 위해 필요한 도구가 이미 마련되어 있다는 것입니다. 이제 보안의 빈틈을 파악하고 기존의 솔루션을 더 효과적으로 사용하기 위한 전략만 더 갖추면 됩니다.

본 문서에서는 APT에 대한 유용한 정의와 공격 라이프 사이클에 대한 정보를 제공합니다. 높은 수준의 전략과 모범 사례 중 일부는 APT 공격의 기술적인 면과 비기술적인 면을 다각적으로 다룹니다. 마지막으로, 일반적인 계층형 방어 전략을 검토하는 부분에서는 다양한 보안 솔루션의 종합적인 APT에 대한 방어 능력에 대해 소개합니다.

3 < >


APT 이해APT는 신종 악성코드, 취약성 또는 기타 기술로 오해되는 경우가 많습니다. 그러나 APT는 단순히 프로그래밍 스타일, 익스플로이트 기술 또는 위협 은폐 메커니즘을 나타내는 것이 아닙니다. APT(지능형 타깃 지속 공격)는 한 가지 위협이나 사건이 아니라 "지능화된 지속적인 공격자"를 나타낸다고 생각해야 합니다.

실제로 APT는 특정 조직 또는 조직 그룹을 대상으로 명확한 목표를 달성하기 위한 확장된 공격입니다. APT는 목적 달성을 위해 일반적인 악성코드에서 복잡한 제로 데이 위협 전술까지에 이르는 광범위한 도구를 사용할 수 있습니다. APT(지능형 타깃 지속 공격)를 지능화된(Advanced)이라고 하는 이유는 가능한 모든 도구를 사용하여 치밀하게 계획, 실행, 조정하기 때문입니다. 지속적(Persistent)이라고 하는 이유는 침입자가 탐지를 피하며 끈질기게 공격하기 때문입니다. 타깃 조직에서 APT를 발견하면, APT 악성코드 네트워크 전체는 여러 달에 걸친 조사와 계획이 수포로 돌아감으로써 큰 타격을 받을 수 있습니다. 반면 매스마켓 공격은 대규모로 이루어지기 때문에 개인이 눈치를 챈다고 해도 공격의 효과가 거의 약화되지 않습니다.

매스마켓 악성코드 vs. APTAPT와 매스마켓 악성코드 사이에는 몇 가지 주된 차이점이 있습니다.

-> APT에 성공하기 위해 특이한 악성코드, 제로 데이 또는 익스플로이트 코드가 꼭 필요한 것은 아닙니다. 그러나 APT 설계자는 새로운 제로 데이 익스플로이트를 빨리 받아들이거나 비교적 덜 사용되는 공격 도구를 사용하여 대상 조직의 주된 약점을 공략하는 경우가 많습니다.

-> 매스마켓 공격은 드라이브 바이(drive-by) 악성코드 감염을 수행하는 웹 사이트로 연결되는 링크가 포함된 E-mail 등의 다양한 도구를 사용한 혼합된 공격의 형태를 취하는 경우가 많습니다. 그러나 APT는 그러한 혼합된 공격마저도 더 복잡한 다단계 공격의 한 면으로만 취급합니다.

그림 1: APT는 목표 달성에 도움이 되는 모든 도구를 활용하여 공격을 조사, 계획 및 실행하는 조직에 의해 만들어집니다. 그러나 '사용되는 도구'만으로 APT를 식별하거나 정의할 수는 없습니다.

APT

4 < >


다음 표에서는 보다 친숙한 일반적인 매스마켓 악성코드 공격과 APT 사이의 다른 비슷한 점과 차이점 몇 가지를 설명합니다.

위협 특성 매스마켓 공격 APT 공격

재정 지원 자금 풍부 자금 풍부, 정치적인 자금이 공급될 수도 있음

대상 가능한 한 많은 대상 특정 조직

제로 데이 익스플로이트 사용 흔치 않음 일반적

목적 거의 대부분 금전적인 이익 없음. 금전적인 이익, 운영 방해, 정보 획득

기회주의적 일반적 없음. 명확하게 정의된 목적

지속 실행 드묾 항상

사회 공학 있음 있음. 특정 대상만을 집중적으로 공략

일반적인 악성코드 변형/맞춤 구성 있음 있음

공격 도구 조정 전형적인 혼합된 위협을 벗어나는 범위는 최소화

대규모. 각 운영 단계에서 발견한 정보에 따라 도구 적용이 달라질 수 있음

데이터 수집 방법 일반적으로 파괴 후 절취 체계적이고 은밀

조사최소화. 페이로드 및 전달 메커니즘 관련

대규모. 애플리케이션, 정책 모범 사례, 직원 관심 등 포함

다른 시스템으로 감염 확대 주로 취약한 시스템 공격 있음. 그러나 시스템에 따라 다른 도구를 활용하며 계획된 경로를 따라 보다 전략적

그림 2: APT와 매스마켓 악성코드 사이의 주요 특징 비교

강화된 스피어 피싱또한 스피어 피싱을 보면 원하는 대상을 더 집중적으로 노리는 APT와 달리 매스마켓 악성코드 공격이 대량으로 진행되는 방식을 파악할 수 있습니다. 유명한 매스마켓 스피어 피싱 공격에는 사용자가 링크를 통해 가짜 웹 사이트에 접속하고 로그인 자격 증명을 입력하거나 개인 정보를 제공하도록 유도하는 Bank Of America 또는 PayPal 위장 E-mail이 포함됩니다. 매스마켓 공격에서는 Bank of America와 거래하지 않거나 PayPal 계정이 없는 사람도 그러한 E-mail을 받을 수 있습니다. 그러나 APT 공격은 훨씬 더 정밀합니다. 예를 들어, APT에서 조직의 기술 지원 담당자만을 대상으로 선택한 경우 기술 지원 부서의 직원만 메시지를 받습니다.

명확한 목표APT에서는 매우 구체적인 목표를 염두에 두고 체계적인 방식으로 일련의 도구를 식별, 수집, 맞춤 구성 및 실행합니다. 목표는 중요한 연구의 특정 부분, 대량의 개인 식별 정보, 금융 기록, 거래 상의 비밀 또는 기타 중요 정보를 수집하는 것이 될 수 있습니다. 지금까지 있었던 대부분의 APT는 여기에 해당됩니다.

5 < >


그러나 APT를 사용하여 중요한 시스템 또는 인프라를 훼손하거나 방해할 수도 있습니다. 예를 들어, 일부 전문가는 2010년의 Stuxnet 사건이 이란의 초기 핵 프로그램을 방해하는 것이 목적이었다고 믿고 있습니다.10 APT를 통한 방해는 관련된 시스템 면에서 보다 일반적인 DoS(Denial of Service) 공격과 다릅니다. 예를 들어, Stuxnet 공격에 사용된 PLC(Programmable Logic Controller)에는 외부에서 직접 액세스할 수가 없습니다. 공격자는 네트워크의 입구를 찾고 취약한 PLC를 찾을 때까지 깊이 침투해야 했습니다. 그리고 의도한 결과를 얻기 위해 충분한 수의 PLC를 확보할 때까지 꽤 오랜 기간 침투 활동이 계속되었을 수도 있습니다.

제로 데이 취약성 및 익스플로이트미디어와 기업이 모두 보안의 유효 기간과 잦은 패치의 필요성을 주목하고 있지만, 보안 수정을 적용한 후에도 취약성이 오래 남는 경우가 많습니다. 따라서 매스마켓 악성코드 범죄자와 APT 공격자는 모두 이미 나와 있는 익스플로이트 코드를 활용하는 경우가 많습니다. 그러나 공격의 초기 단계에서 발각되지 않고 그러한 익스플로이트를 사용하려면 높은 수준의 맞춤 구성이 필요합니다. 따라서 APT의 배후에 있는 사람들은 특정 대상과 명확한 목표를 가지고 있으므로, 사전 조사를 통해 목표 달성에 도움이 된다는 결론을 얻으면 제로 데이 익스플로이트의 맞춤 구성에 투자할 가능성이 큽니다.

APT 공격자는 최신 취약성이나 인기 애플리케이션 악용에 관심이 없다는 점에도 주의해야 합니다. APT에서는 대상과 목표만을 집요하게 공략합니다. 대상 조직에서 알려진 취약성이 있는 약간의 인지도가 있는 시스템을 사용하는 경우, 공격자가 보기에 익스플로이트를 만들기 위한 투자로 충분한 결과를 얻을 수 있다고 판단되면 그 익스플로이트를 활용합니다. 자금이 충분하고, 결과만 얻을 수 있으면 되기 때문입니다.

내부자 위협APT는 물리적인 침입 요소(속아서 자발적으로 중요한 데이터를 제공하는 내부자 등)와 관련되는 경우가 매스마켓 악성코드 공격에 비해 흔합니다. 공격자가 전화로 전형적인 피싱 또는 기타 사회 공학 기술을 사용하거나 회사 직원을 가장하여 실제 직원을 속여 중요한 정보를 빼낼 수도 있습니다. 꽃이나 선물을 배달하는 것처럼 위장하여 대상의 근무지에 접근할 수도 있습니다(특히 사전 전화 통화를 통해 대상 직원이 자리를 비운 것을 확인한 경우). 또는 직원이 호기심으로 직장 컴퓨터에 연결하기를 기대하면서 악성코드가 감염된 USB 드라이브를 회사 주차장에 떨어뜨릴 수도 있습니다.

6 < >


APT 라이프 사이클모든 APT는 공격의 대상과 목표에 맞게 조정되지만, APT 공격의 준비와 실행에 일반적으로 사용되는 단계가 있습니다. 일반적인 APT는 광범위한 조사와 주요 시스템에 대한 진입 및 침투에 성공하고 나면 대부분의 기간을 원하는 정보의 수확으로 보냅니다. 그러나 다음 다이어그램에서 알 수 있듯이, 수확 단계에서도 철저한 공격 모니터링 결과 추가 시스템을 감염시켜야 하거나 새로운 침투 경로를 통해 새로운 자원을 공략해야 한다는 결론이 나올 수도 있습니다. 스파이 업무가 그렇듯이, 처음에는 계획을 세우지만 보안 응답이나 새로 발견된 기회에 따라 즉각적인 대응도 준비합니다. 라이프 사이클 전체에서 목표를 통해 모든 활동이 추진되지만, 잠시라도 완전히 자동으로 이루어지는 경우는 없습니다.

그림 3: APT 공격 라이프 사이클. 일단 시작되면 탐지된 후 제거될 때까지 끝나지 않습니다.

7 < >


조사 단계APT와 전통적인 매스마켓 악성코드 공격 사이의 가장 큰 차이점 중 하나는 공격을 시작하기 전과 공격을 진행하는 동안에 이루어지는 조사의 폭과 깊이입니다. APT의 배후에서 충분한 자금을 가지고 활동하는 조직은 매우 구체적인 대상에 대해 조사하면서 오랜 시간을 보냅니다. 회사 행사를 이용하거나, 새로운 혜택을 받으려면 위장 웹 사이트에 등록하라는 내용의 E-mail을 보내거나, 흡연자들이 이용하는 회사 뒷문을 통해 실제로 침입할 수도 있습니다. 그리고 네트워크 아키텍처, 레거시 시스템, 결함이 있는 시스템 활용 가능성, 애플리케이션 및 버전 번호, 기타 도움이 될 만한 정보를 최대한으로 확보하려고 합니다. 또한 회사 행사에 대한 위조 메시지를 통해 액세스하기 위해 또는 아주 세부적인 E-mail이나 전화 통화를 통해 대상으로 위장하여 사용자를 속여 중요한 정보를 빼내기 위해 기업 문화나 대상 개인에 대한 특정 세부 사항을 조사할 수도 있습니다.

지금은 Facebook 페이지, 트위터 등에서 창의적으로 Google 검색을 활용하면 대량의 정보를 얻을 수 있는 시대입니다. 쉽게 구할 수 있는 침투 테스트 도구는 조직의 네트워크와 시스템에 대한 많은 정보를 파악하는 데 도움이 됩니다. 외근 중인 회사 직원을 가장하여 전화로 한두 가지 사소한 질문을 하는 활동도, 여러 부서에 대해 장기적으로 수행하면 공격을 들키지 않은 채로 중요한 정보를 얻는 데 활용될 수 있습니다.

APT 공격자는 이러한 예비 조사를 통해 일반적으로 공격의 각 단계에 대해 심층적인 계획을 시작합니다. 항상 목표를 중심으로 생각하며 목표와 가장 가까운 시스템 및 사람을 파악하고, 성공으로 가는 여러 경로를 밝히는 지도를 만듭니다. 사회 공학적 방법을 탐구하거나 네트워크에 진입하여 체계적으로 목표를 향해 침투하는 데 도움이 되는 기존 도구를 조사할 수도 있습니다. 조사 단계에서는 공격에 사용할 실제 도구의 맞춤 구성 및 개발에 대해서도 다룹니다.

APT 공격에 일반적인악성코드 코드, 침투 테스트 모듈 및 기타 도구를 그대로 사용하거나 약간 변경하여 사용할 수도 있습니다. 일부 도구는 악용할 수 있는 약점을 발견하는 데 사용되고, 다른 도구는 다단계 공격의 특정 단계에서 사용됩니다. 예를 들어, 앞서 언급한 2010년의 Stuxnet 공격을 다른 사람들이 변형하여 공익 및 에너지 기업을 공격한 일이 있습니다.11

계획 팀은 확보한 자원으로 할 수 있는 일을 파악하고 지하 사이버 경제에서 전문 기술을 판매하는 사람을 구하는 데 필요한 서비스를 확인합니다.

8 < >


진입 단계APT의 진입 단계에서 네트워크 진입 발판을 확보하는 일은 공격자의 끈기를 보여주는 첫 단계일 것입니다. 공격자는 액세스할 때까지 계속해서 여러 가지 방법을 시도합니다. 심지어는 여러 가지 방법을 동시에 시도하고 일부가 발견될 경우 아직 시도 중인 방법에 노력을 집중하기도 합니다.

전문가들은 공격의 진입 단계에서 가장 많이 사용되는 수단이 스피어 피싱이라고 믿고 있습니다. 일반적으로 스피어 피싱에는 익스플로이트가 담긴 PDF 등의 악성 첨부 파일이 있는 E-mail이 사용됩니다. 그러나 E-mail이나 첨부 파일을 전혀 사용하지 않을 수도 있습니다. E-mail 바이러스 백신 방어를 우회하기 위해, 웹메일이나 소셜 네트워크 계정, 인스턴트 메시징 등을 통해 메시지를 전달할 수도 있습니다. 또한 첨부 파일을 사용하지 않고 공용 파일 공유 서비스에 저장된 악성코드 파일로 연결되는 링크를 통해 같은 성과를 얻을 수도 있습니다.

소셜 네트워킹이 매스마켓 공격과 APT 양쪽에서 악성코드 전달 수단으로 인기를 끌게 된 것은 놀라운 일이 아닙니다. 소셜 네트워크 환경에서 사람들이 서로 신뢰하는 분위기 때문에 특정 활동의 위험도에 대한 인식이 떨어지는 경우도 많습니다.

공격자는 최소 수준 이상의 원격 액세스 및 제어를 통해 네트워크에서 발판을 얻기 위해 다양한 방법을 사용합니다. RAT(원격 접속 툴, Remote Access Tool)는 APT 공격자가 목적 달성을 위해 사용하는, 비교적 흔한 도구로 이미 인정을 받고 있습니다. RAT를 사용하면 이후 공격 단계에서 감염된 플랫폼을 활용할 수 있습니다.

공격의 기술적인 측면에 관계 없이, 사회 공학은 언제나 중요한 수단이 됩니다. 매스마켓 악성코드 공격에서 처럼 사용자가 중요한 네트워크 액세스 자격 증명을 제공하도록 유도하려면 조사 단계에서 얻은 정보가 중요하지만, 나중에 의심을 피할 수 있도록 정교한 전술을 짜야 합니다. APT는 초기 단계에서도 높은 수준의 목표를 드러낼 만한 흔적을 남기지 않으려고 주의합니다. 돌이켜 보면, 조직에서 진행 중인 APT를 발견한 사람이 초기 증상을 다른 악성코드 공격이나 스팸 사건으로 잘못 기록한 경우도 많았습니다.

네트워크에 진입하는 가장 쉬운 방법은 이미 매스마켓 공격을 통해 액세스 권한을 얻은 사람으로부터 온라인으로 정보를 구입하는 것입니다. 이 부분이 바로 기회에 의존하는 매스마켓 악성코드와 APT 공격자가 연결되는 부분입니다. 실제로 해커들이 미국 정부 서버와 기타 네트워크의 루트 액세스 권한을 미화 499달러12 이하에 판매한 일도 있습니다.

9 < >


침투 단계초기 침투 단계에서 성공하는 일은 드물지만, 공격자는 초기에 침입한 시스템에서 중요한 정보를 얻을 수 있습니다.

먼저, 초기에 감염된 시스템에서 네트워크, 트래픽 패턴, 잠재적 약점, 연결된 서버 등에 대한 정보를 수집하면서 추가 조사가 필요한 것을 알게 될 수 있습니다. 감염된 각 시스템을 원격으로 제어하면 소유자의 신원과 액세스 수준 등의 귀중한 정보를 얻을 수 있습니다.

초기에 감염된 시스템에서 충분한 정보를 얻고 나면, 공격자는 네트워크를 끈기 있게 파고들며 대상 시스템을 찾습니다.

수확 단계수확 단계에서는 공격자가 목표를 향해 더 가까이 다가갑니다. APT는 정보를 얻어서 그냥 떠나지 않기 때문에 이 단계를 설명하는 말로는 "수확"이 어울립니다. 공격자는 얻을 수 있는 것을 얻은 후 새로운 데이터나 변경된 데이터를 얻을 수 있게 될 때까지 끈기 있게 기다립니다. 이 점이 APT와 매스마켓 악성코드의 가장 큰 차이점입니다. 매스마켓 악성코드는 가능한 한 많은 정보를 가능한 한 빨리 추출하며, 그 과정에서 보안 경고를 발생시키기도 합니다. APT는 발견되지 않도록 설계되며, 오랜 기간 유지됩니다.

APT 공격 전략에 따른 APT 방어 전략 필요이렇게 복잡한 공격을 방어하려면 잘 계획된 방어 전략이 필요합니다. 먼저 조직이 어떻게 작동하고 의사 소통하며 최신 보안 솔루션을 사용하는지 알고 이러한 기능을 최대한 활용하는 방법을 알아야 합니다. 또한 공격자가 네트워크에 저장 또는 전송되는 데이터를 사용하여 목표를 달성하는 방법을 파악해야 합니다.

로그 파일을 사용하여 각 부분 연결일반적인 APT 공격에서는 일반적인 도구를 장기적으로 체계적인 방식으로 적용하기 때문에 스피어 피싱 시도를 차단하는 등의 단일 사건을 대규모 APT 공격의 증상으로 식별하는 것은 거의 불가능합니다. 그러나 일반적으로 로그 파일을 사용하여 여러 시스템의 정보를 연결시키면 각 부분의 연결을 파악하고 일견 상관이 없어 보이는 사건들 사이의 연결고리를 발견할 수 있습니다.

APT 활동의 흔적은 웹 게이트웨이에 있는 프록시, 게이트웨이 바이러스 백신, 방화벽, 웹 필터, DNS, IPS/IDS 및 기타 솔루션의 로그 파일에서 찾을 수 있습니다. 일반적인 활동의 기준을 확립하고 나면 팀에서 비정상 활동에 대한 감지 방법을

10 < >


개발하고 다른 시스템의 로그에서 비슷한 APT 경고 증상을 확인해야 할 시기를 파악할 수 있습니다. 여러 시스템 사이의 관계를 다루는 보고 도구를 사용하면 기준을 확립하고 비정상 활동을 강조하여 표시하는 보고서를 설계하기가 쉽습니다.

예를 들어 2009년과 2010년에 큰 문제를 일으켰던 Conficker 봇넷은 DNS 로그에서 비정상 활동을 확인한 사람에 의해 발견되었습니다. 그 당시 Conficker는 DNS에서 매일 수천 개의 존재하지 않는 URL에 대해 IP 주소를 요청했었습니다.

본 문서에서 언급하는 다른 항목 중에도 APT 공격의 다양한 측면에 대해 여러 수준에서 방어할 수 있지만, APT를 파악하는 데 가장 효과적인 방법은 로그 파일의 활용 방법을 익히는 것입니다.

AV, 웹 필터, 패치대부분의 APT는 일반적인 공격 방법 및 도구를 활용하므로 방어는 표준적인 방어 수단을 올바르게 적용하는 것에서 시작됩니다. 물론 올바르게 사용하고 자주 업데이트하는 것도 중요합니다. 다운로드, 패치 또는 업데이트가 필요하지 않도록 클라우드 서비스를 포함하면 더 좋습니다.

HTTP, HTTPS 및 FTP 트래픽에 대한 게이트웨이 바이러스 백신은 2000년부터 멀티벤더 전략에 포함되어 대부분의 인지도 높은 대상 조직에서 채택되었습니다. 그러나 아직도 수많은 회사들이 E-mail을 제외하고는 바이러스 백신의 엔드포인트에만 의존하고 있습니다. 웹메일, 소셜 네트워킹 및 기타 취약한 웹 애플리케이션이 급증하는 상황에서 이 방법은 심상치 않은 간과입니다. 두 개 이상의 제공업체에서 서로 다른 백신을 사용하여(예: 게이트웨이와 데스크탑 백신을 다른 벤더로 채택) 동작 분석과 발견적 방법을 적용하면 APT에 사용되는 것과 같은 변종 악성코드를 조기에 발견할 가능성이 커집니다.

웹 필터링 산업은 약 7-8년 전에 주로 음란 사이트를 차단하던 방향에서 프론트라인 게이트웨이 악성코드 방어에 치중하는 방향으로 전환되었습니다. 또한 현재 사용되는 우수한 웹 필터 중 일부에는 APT가 효과적으로 네트워크에 침투하기도 전에 진입 단계에서 감염된 시스템의 아웃바운드 전송을 식별할 수 있는 별도의 범주가 포함되어 있습니다.

지난 몇 년 동안 취약성을 이용하는 익스플로이트가 일반화되고, 주요 공격 대상도 운영 체제에서 애플리케이션으로 바뀌었습니다. APT는 특히 취약성을 악용하는 부분에서 강하기 때문에 이러한 격차를 보완하는 것이 IT의 우선 과제입니다. 물론 모든 시스템을 항상 패치하는 것은 불가능할 수도 있습니다. 하지만 약점이 줄면 진행 중인 APT를 발견하고 막을 수 있는 시간이 늘어납니다.

11 < >


내부자 위협누구보다도 위험한 내부자는 악의 없이 공격자에게 조직을 공격할 수단을 제공하는 직원입니다. 지금은 암호를 Post-it®에 써서 모니터에 붙이는 일이 드물지만, 사용자는 항상 잘 모르는 사이에 보안과 관련된 심각한 실수를 저지릅니다. 아직도 부주의한 로그인 및 소셜 네트워킹 사용 습관이 기업 데이터에 끼칠 수 있는 보안 위험을 잘 모르는 사용자가 많고, APT와 매스마켓 악성코드 공격은 모두 이러한 틈새를 수시로 공격합니다. 그렇기 때문에 최소한의 최종 사용자 보안 교육이라도 정기적으로 해주면 소셜 네트워크와 관련된 보안 위반을 큰 폭으로 줄일 수 있습니다.

이해 관계를 공유하는 그룹 간에 보안 교육을 조정할 수도 있습니다. 예를 들어, 일반적으로 개인 정보 보호 정책(전화를 통해 제공할 수 있는 정보의 종류 정의 등)을 담당하는 곳은 법무 부서와 인사 부서입니다. 따라서 이 양쪽 그룹에 동일한 교육 프로그램을 적용할 수 있는 경우가 많습니다.

IT는 사용자 교육 외에 일부 권한을 폐지하는 방법도 고려해야 합니다. 예를 들어, IT에서 첨부 파일 기능을 차단하면 RAT가 웹메일을 사용하여 데이터 파일을 전송하는 것을 막을 수 있습니다. Facebook이나 기타 조직에서 승인되지 않은 협업 서비스에 대해서도 같은 제한을 적용할 수 있습니다. 기본적인 코어 DLP 구현만 함께 사용해도 APT에서 진입과 정보 수확에 사용할 수 있는 방법이 극적으로 줄어듭니다.

네트워크 측면에서 IT는 APT가 대상으로 삼을 만한 정보와 자원을 파악해야 합니다. 이러한 자원에 액세스할 수 있는 사용자와 해당 액세스 권한의 필요 여부를 파악하는 것도 중요합니다. 무고한 사용자가 애초에 받지 않았어야 할 정보의 작업에 대해 일으킨 실수로 데이터 손실이 발생하는 경우도 많습니다. 따라서 주요 APT 대상으로 의심되는 부분에서만이라도 액세스 및 인증 제어를 엄격하게 구현하면 강력한 예방 방어 수단을 마련할 수 있습니다.

계층형 방어블루코트는 결함 방지 보안 태세를 유지하기 위해 라이프 사이클의 각 단계에서 위협을 해결하는 계층형 방어 전략을 지지합니다. APT의 현재 정의를 사용하면 공격자가 각 단계에서 사용할 수 있는 다양한 도구에 대한 기존 솔루션의 방어 기능을 평가할 수 있습니다. 수많은 보안 제공업체가 APT에 대한 방어 솔루션을 판매하고 있지만, 똑똑한 구매자라면 더 구체적인 질문을 통해 이 백서에 소개된 다양한 종류의 APT 도구에 솔루션이 대처하는 방식을 정확하게 파악할 수 있습니다.

다음 부분에서는 블루코트의 솔루션 몇 가지에 대해 소개한 후 계층형 APT 방어에서 담당하는 역할을 설명합니다.

12 < >


ProxySGBlue Coat ProxySG는 웹 통신 보안에 사용되는 확장 가능한 프록시 플랫폼을 제공합니다. 다른 기능 외에도, 여기에는 웹 트래픽에서 포트 443을 사용하는 비SSL 트래픽, 포트 80을 사용하는 비HTTP 트래픽, 비정상적인 시간대 또는 의심스러운 사용자/시스템의 파일 전송 등의 비정상적인 활동을 모니터링하는 기능이 있습니다. ProxySG는 또한 진행 중인 APT 공격의 조사를 위해 로그에 기록된 방대한 트래픽 정보를 사용하여 정의한 보안 정책을 시행할 수도 있습니다.

WebFilterProxySG와 Blue Coat WebFilter를 함께 사용하여 실시간 악성코드 다운로드 및 기타 웹 위협 활동을 차단하고, URL 및 IP 주소를 필터링하며, 사용자의 생산성을 보고하고, 규정 준수를 지원할 수 있습니다. WebFilter는 클라우드 구성 요소인 WebPulse에서 새로운 URL이나 이전에 평가되지 않은 URL에 대한 실시간 분석 정보를 제공하기 때문에 제로 데이 및 익스플로이트 방어 능력이 우수한 것으로 검증되었습니다. 또한 WebFilter는 IPv6를 지원하기 때문에 IPv6와 호환되지 않는 보안 솔루션의 약점을 악용한 공격으로부터 안전합니다.

진입 단계(APT가 사용자를 악성코드 또는 피싱 사이트로 유도하는 등의 경우)에서 침투 단계(봇넷, RAT 및 기타 도구가 공격자와 지침에 대해 통신하는 경우)까지, WebFilter는 웹 대상의 잠재적인 위협을 동적으로 평가하고, 의심스러운 사건을 차단하며, APT 조사에서 사용하기 위해 활동 세부 사항을 기록할 수 있습니다. WebFilter는 또한 ProxySG와 WebFilter 양쪽 정보의 관계를 파악하여 수확 단계에서 도난 당한 정보를 전송하려는 시도를 파악하고 차단할 수 있습니다.

WebFilter에는 모바일 사용자의 보호를 위해 원격 또는 모바일 시스템에서의 웹 활동을 보호하고 기록하는 ProxyClient도 포함되어 있습니다.

WebPulseWebPulse는 WebFilter, PacketShaper 및 블루코트 보안 클라우드 서비스에 포함된 클라우드 서비스 구성 요소입니다. WebPulse는 동작 분석, 활성 스크립트 분석 프로그램, 발견적 방법 등을 적용하여 URL을 동적으로 평가합니다. 새로운 식별 및 분석 프로세스가 적용되므로 WebPulse가 통합되어 있는 솔루션을 사용하는 고객은 바로 보호를 받을 수 있습니다. 또한 7500만 명이 넘는 WebPulse 커뮤니티 사용자 중에서 한 명이 악성 콘텐츠를 접하게 되면 모든 사용자가 즉시 보호를 받습니다.

13 < >


ProxyAVProxyAV는 게이트웨이 안티 바이러스 솔루션으로서 엔드포인트 바이러스 백신 솔루션에 대한 멀티 벤더 보완 및 모범 사례를 제공하여 웹메일, 소셜 네트워킹 및 기타 비SMTP 항목 벡터로 인한 위협으로부터 보호합니다. 고객은 바이러스 백신 솔루션 분야의 우수 제품 5개 중 원하는 것을 선택하여 APT의 진입 및 침투 단계에서 흔히 사용되는 바이러스(변종 악성코드 포함)의 발견 확률을 높일 수 있습니다. ProxyAV 로그는 상관 관계 파악 능력을 향상할 수 있도록 ProxySG 및 WebFilter 데이터에도 저장됩니다.

ReporterReporter는 ProxySG, ProxyAV, WebFilter 및 ProxyClient에서 제공되는 로그를 사용하여 웹 활동에 대한 완전한 가시성을 제공합니다. 직관적인 인터페이스를 통해 데이터로 쉽게 드릴다운할 수 있고, 임시 보고서를 작성하며 직원에 의한 남용을 식별할 수 있습니다. 또한 바이러스 백신 활동, 비정상적인 포트 또는 암호화 활동, 웹메일 사용, 특정 사용자/시스템에 의한 의심스러운 URL 또는 IP 주소 액세스 등에 대한 정보를 통해 잠재적 APT 공격을 초기 단계에 식별하고 대처할 수 있습니다.

보안 클라우드 서비스블루코트 보안 클라우드 서비스를 사용하면 어플라이언스, 서버 또는 데스크톱을 유지 관리하거나 업데이트하지 않아도 완전한 웹 보호 기능을 제공할 수 있습니다. 이 모듈은 모바일 작업자 및 지사에 더 적합한 플랫폼에서 ProxySG, ProxyAV 및 WebFilter와 같은 보호 및 로그 기능의 대부분을 제공합니다. 관리 및 보고 기능도 비교적 강력하기 때문에 활동 사이의 관계를 파악하여 활동 중인 APT를 발견할 확률을 높일 수 있습니다.

별도로 제공되는 웹 보안 모듈을 다른 블루코트 어플라이언스와 함께 설치하면 단일 보안 어플라이언스 플랫폼의 한계를 넘어 대형 사무실의 보안과 성능 확장성을 제공할 수 있습니다.

Blue Coat DLPBlue Coat DLP를 사용하면 조직에서 데이터 유출을 신속하고 정확하게 탐지 및 차단할 수 있습니다. Blue Coat DLP에는 E-mail 모니터링 외에도 웹 트래픽에서 중요한 데이터의 네트워크 외부 전송 시도를 조사하는 기능이 있습니다. 또한 네트워크 트래픽 모니터링을 통해 의심스러운 방식이나 비정상적인 시간에 정보에 액세스하는 개인이나 시스템을 식별하여 APT로부터 방어하는 기능도 있습니다. 중앙 관리 기능은 모든 출구 지점의 네트워크 활동 정보 사이에서 관계를 파악하여 APT 패턴과 회사로부터의 정보 추출 시도를 확인할 수 있습니다.

14 < >


PacketShaperPacketShaper는 700개 이상의 일반적인 애플리케이션 유형과 관련된 트래픽을 식별하고, 포트 세부 사항 및 프로토콜 정보를 제공하며, 목적지에 따라 아웃바운드 트래픽을 분류할 수 있습니다. APT 방어 전략의 일부로 PacketShaper는 다양한 정보의 상관 관계를 자동으로 파악하여 매우 유용한 정보 및 정책 제어를 구현하는 기능을 제공합니다. 예를 들어, 애플리케이션 트래픽과 다른 트래픽, 시간 및 웹 정보 사이의 상관 관계를 파악하는 기능은 공격의 침투 및 수확 단계에서 APT를 차단하는 데 도움이 됩니다.

PacketShaper는 또한 애플리케이션을 사용하여 악성코드를 전파하거나, 정보에 액세스하거나, LAN 또는 WAN 상의 기타 악의적인 활동을 수행하는 APT 단계를 모니터링하여 이에 대응할 수 있습니다. PacketShaper의 애플리케이션 모니터링 기능을 통해 네트워크의 여러 곳에서 작업을 수행하거나, 대역폭을 과도하게 사용하거나, 의심스러운 방식으로 작동하는 애플리케이션과 같은 비정상적인 시스템 활동을 발견할 수 있습니다(예: 일반적으로 동시에 사용하는 사람이 4-5명 정도인 회사 데이터베이스에 100개의 감염된 컴퓨터가 액세스를 시도하는 경우).

결론: APT 공격에 대응하는 다음 단계 수행APT가 증가함에 따라 정부와 산업 부문의 모든 조직에서 방어에 적합한 전략과 솔루션이 필요하게 되었습니다. APT 공격에 대처하려면 먼저 APT의 작동 방식과 조직의 사회적, 물리적 및 네트워크 상의 취약점을 악용하는 방식을 철저하게 이해하는 것이 중요합니다.

조직에서 서로 분리된 것처럼 보이는 사건들의 상관 관계를 파악하지 못하여 진행 중인 APT를 인식하지 못하는 경우가 많습니다. 예를 들어, 일반적인 E-mail 스팸이나 무작위 전화 통화처럼 보였던 것이 실제로는 APT의 초기 단계일 수 있습니다. 로그 파일과 보고 도구를 최대한으로 활용하는 방법을 익히면 APT를 인식하는 능력을 높일 수 있습니다. 하지만 활성 APT 방어를 강화하는 일은 더 복잡할 수 있습니다. 적절한 기술 채택 외에도 물리적인 보안 정책을 업데이트하고 최종 사용자의 인식 교육을 진행하는 과정이 필요할 수 있습니다.

지금은 세계의 통신을 웹이 지배하고 있기 때문에 대형 IT 조직에도 더 종합적인 보안 방법이 필요합니다. 그렇기 때문에 블루코트는 개별 APT 도구로부터 방어하고 여러 방어 계층을 결합하여 높은 수준의 APT 공격을 식별할 수 있는 계층형 방어 전략을 지지합니다. 계층형 보안은 종합적인 게이트웨이 및 네트워크 기반 방어, 제어 및 모니터링 솔루션, 패치 및 업데이트가 필요 없는 실시간 인텔리전스를 제공합니다. 따라서 성공적인 APT 보안 전략을 사용하면 APT 라이프 사이클의 각 단계에서 악의적인 활동을 완화하고, 의심스러운 흔적을 식별하여 관계를 파악하고, IT 부서에서 지속적으로 보안 정책을 개선하도록 할 수 있습니다.

블루코트 솔루션이 APT와 기타 보안 및 대역폭 관련 위협으로부터 조직을 보호하는

15 < >


방법을 확인하려면 www.bluecoat.co.kr을 방문하십시오.

참조 자료1 Wikipedia, http://en.wikipedia.org/wiki/GhostNet2 ComputerWorld, 2011년 6월 5일, “LulzSec claims it hacked FBI linked

organization” http://www.computerworld.com/s/article/9217320/LulzSec_claims_it_hacked_FBI_linked_organization

3 IBTimes, 2011년 5월 28일, “Lockheed Hunting Cyber Attackers” http://www.ibtimes.com/articles/154086/20110529/lockheed-rsa-attacks-emc-apt.htm

4 CNET, 2011년 2월 10일, “Data theft attacks besiege oil industry, McAfee says” http://news.cnet.com/8301-30685_3-20031291-264.html?tag=mantle_skin;content

5 PCWorld, 2011년 3월 18일. "RSA SecurID Hack Shows Danger of APTs" http://www.pcworld.com/businesscenter/article/222555/rsa_securid_hack_shows_danger_of_apts.html

6 Wired, 2009년 8월 17일, “TJX Hacker Charged With Heartland, Hannaford Breaches” http://www.wired.com/threatlevel/2009/08/tjx-hacker-charged-with-heartland/

7 TechWorld, 2011년 5월 18일, “Hacker sheds light on Sony PSN attack” http://features.techworld.com/security/3280561/hacker-sheds-light-on-sony-psn-attack/

8 Wikipedia, http://en.wikipedia.org/wiki/Operation_Aurora9 Ponemon Institute 블로그, 2011년 4월 3일, “Are we taking adequate steps to

protect the critical infrastructure?” http://www.ponemon.org/blog/post/are-we-taking-adequate-steps-to-protect-the-critical-infrastructure

10 Wired, 2010년 9월 28일, “Blockbuster Worm Aimed for Infrastructure, But No Proof Iran Nukes Were Target” http://www.wired.com/threatlevel/2010/09/stuxnet/

11 V3.co.uk, 2011년 4월 7일, “Two-thirds of energy firms at risk from Stuxnet-like Scada attack” http://www.v3.co.uk/v3-uk/news/2041556/-thirds-energy-firms-risk-stuxnet-scada-attack

12 Cyberinsecure.com, 2011년 1월 22일, “Access To Hacked Government, Educational, Military Websites Sold On Underground Market” http://cyberinsecure.com/access-to-hacked-government-educational-military-websites-sold-on-underground-market/

KR Blue Coat Y.H. //서울시 강남구 삼성동 159-1 한국종합무역센터 25층 (135-729)

//전화: 82-2-6000-7050 // 팩스: 82-2-6000-7060 // www.bluecoat.co.kr

Copyright © 2011 Blue Coat Systems, Inc. All rights reserved worldwide. 이 문서의 어떠한 부분도 Blue Coat Systems, Inc.의 서면 승인 없이 전자적 방법으로 재생산되거나 번역될 수 없습니다. 사양은 예고 없이 변경될 수 있습니다. 본 문서에 포함된 정보는 정확하고 신뢰할 수 있는 것으로 간주되지만, Blue Coat Systems, Inc.는 문서의 사용에 대해 어떠한 책임도 지지 않습니다. 블루코트, ProxySG, PacketShaper, CacheFlow, IntelligenceCenter 및 BlueTouch는 미국 및 전 세계에서 Blue Coat Systems, Inc.의 등록 상표입니다. 이 문서에 언급된 기타 모든 상표는 해당 소유자의 자산입니다.

v.WP-BC-LABS-REPORT-APT-V1-0711