지능형 지속 위협이란 무엇인가요?

지능형 지속 위협(APT)은 특정 비즈니스 자산을 대상으로 하는 복잡한 다단계 보안 이벤트입니다. APT는 조직 환경에 침입하여 시스템을 넘나들며 자산을 획득하고 민감한 정보를 전송하고 적발되지 않고 탈퇴를 시도하는 무단 행위자입니다. 지능형 지속 위협은 정교한 전술과 표적화된 접근 방식으로 인해 식별하고 대응하기가 까다로울 수 있습니다. APT로부터 보호하려면 다중 시스템, 다분야 접근이 필요합니다.

APT 이벤트는 다음 목적 중 하나를 가질 수 있습니다.

지적 재산권 도용

영업 또는 정부 기밀, 독점 소스 코드, 개인 통신 등과 같은 지적 재산은 모두 조직에 속한 민감한 비공개 데이터입니다. APT 집단은 이러한 데이터에 처음 액세스할 때 경쟁 우위를 확보하거나 비즈니스 대상 네트워크에 부정적인 영향을 미치기 위해 불법적으로 정보를 획득합니다.

금융 사기

APT는 비즈니스 시스템과 운영에 대한 통제권을 확보함으로써, 무단 행위자가 금융 사기를 수행하는 데 필요한 권한 있는 액세스 권한을 획득하게 할 수 있습니다. 이러한 활동에는 사용자 계정에서 자금을 이체하거나, 회사의 민감한 데이터를 탈취해 조직 내 권한 있는 인물로 사칭하는 행위가 포함될 수 있습니다.

랜섬웨어 

성공적인 APT 이벤트는 랜섬웨어를 구현하는 것을 목표로 할 수 있습니다. 이 예에서 APT는 민감한 데이터를 암호화하고 사용자가 대상 네트워크에 액세스하지 못하도록 차단하기 시작합니다. 이러한 무단 집단은 파일 암호 해독 키를 제공하는 대가로 높은 금액의 몸값을 요구할 수 있습니다. 

평판 손상

일부 APT 집단의 구체적인 목표는 대중에게 정보를 유출하여 조직의 평판에 손상을 입히는 것입니다.

APT는 가치가 높은 목표만 고려합니다. 지능형 지속 위협(APT)은 기존 패턴을 따르지 않기 때문에 일반적인 사이버 위협보다 식별하기가 더 복잡합니다. 일반적인 보안 이벤트 벡터, 이벤트 기간 또는 시그니처가 없기 때문에 이러한 보안 이벤트를 찾아 무력화하기가 더 어렵습니다. 

일반적인 보안 이벤트에서는 데이터베이스 작업이나 데이터 이동 트래픽이 갑작스럽게 급증하는 경우가 많지만, APT 이벤트는 보다 체계적이고 점진적인 접근 방식을 취하기 때문에 쉽게 드러나지 않습니다.

APT는 즉각적인 이익을 추구하지 않을 수도 있으며, 그 결과 시간을 들여 보다 광범위한 위협을 구축할 수 있습니다. APT는 시스템 내에서 탐지를 피함으로써, 해당 집단이 행동에 나서기로 결정할 때까지 기업 내부에 장기간 잠복한 상태로 남아 있을 수 있습니다.

다음은 지능형 지속 위협의 가장 일반적인 특징과 증상입니다.

액세스 권한을 얻기 위한 정교한 다단계 이벤트

지능형 지속 위협에는 종종 비슷한 일련의 단계를 거치는 다단계 이벤트가 포함됩니다.

먼저, 권한이 없는 행위자가 대상 조직과 해당 시스템을 정찰하여 자산 및 잠재적 취약성에 대한 정보를 수집합니다. 여기서부터 식별된 취약점을 활용하는 방법을 개발합니다.

무단 행위자가 기업 시스템에 액세스한 이후에는 시스템의 여러 영역을 이동하며 활동합니다. 이를 위해 소셜 엔지니어링, 네트워크 세그먼트 이동, 기타 다양한 기술을 통해 상위 권한에 액세스함으로써 이를 수행합니다. 또한 보안 담당자의 주의를 산만하게 할 수도 있습니다. 명령 및 제어 서버는 통신을 조정하도록 설정됩니다.

대상 자산에 액세스할 수 있게 되면 일반적으로 권한 없는 행위자가 이벤트의 목표에 따라 데이터를 유출하거나 손상된 시스템을 변경하기 시작합니다. 일부 지능형 지속 위협은 이 마지막 단계에 이어 해당 이벤트에 대한 정보를 차단하기 위해 자신의 흔적을 은폐하려고 시도합니다.

의욕이 강한 APT 집단에 의해 수행

APT 이벤트는 일반적으로 목적 의식이 뚜렷한 무단 행위자들이 집단으로 수행합니다. 이러한 집단은 국가 후원 APT, 전문 사이버 범죄 조직, 해커 행동주의(hacktivist) 집단 또는 고용된 해커로 구성된 소규모 팀 등 다양한 형태로 존재합니다.

APT의 주요 목적 중 하나는 금전적 이익이지만, 일부 집단은 민감한 정보를 수집하거나 데이터를 노출시키고, 인프라를 교란하거나, 조직의 평판에 영향을 미치기 위해 APT 공격을 수행하기도 합니다. 

여러 시스템에서 상당한 시간 동안 발생한 이벤트

앞서 설명한 단계들은 장기간에 걸쳐 진행될 수 있습니다. APT 이벤트의 표적 특성으로 인해 집단은 주의력을 높이거나 시스템에서 경고를 발생시키지 않기 위해 느리게 진행하도록 신중하게 계획을 세웁니다. 일부 경우에는 APT가 원래의 목표를 달성하기 위한 단계에 착수하기 전까지 수개월 또는 수년에 걸쳐 탐지되지 않은 채 잠복해 있기도 합니다.

흔적을 남기지 않도록 설계

APT 위협 행위자의 움직임 마지막 단계는 파일 삭제, 로그 수정, 데이터베이스의 특정 측면을 가리는 등의 기술을 통해 이벤트의 흔적을 은폐하는 것입니다. 사이버 보안 팀이 시스템 이상을 발견할 가능성을 낮출수록, 무단 행위자는 별다른 제재 없이 시스템을 이탈할 가능성이 높아집니다.

또한 APT는 자신의 존재에 대한 흔적을 은폐함으로써 구체적인 침투 방식 자체를 비밀로 유지할 수도 있습니다. 이러한 은밀한 이탈을 통해 공격자는 다른 표적 조직에서도 동일한 느리고 체계적인 전략을 반복적으로 활용할 수 있습니다.

지능형 지속 위협(APT) 인텔리전스는 진행 중인 APT 캠페인, 기존 APT 무단 행위자, APT에서 사용하는 최신 소셜 엔지니어링 기법 등을 기업에 알리고 지시하는 특수 형태의 위협 인텔리전스입니다. 

APT 인텔리전스는 정보 출처, 삼각 측량 기법, 보고 방식, 분석 방법, 그리고 활용 측면에서 일반적인 위협 인텔리전스와 차이가 있습니다.

APT를 예방하고 이에 효과적으로 대응하기 위한 여러 가지 보안 조치는 다음과 같습니다.

위협 인텔리전스

위협 인텔리전스 시스템은 APT를 방지하는 데 도움이 되는 효과적인 전략입니다. 위협 인텔리전스는 내부 및 외부 보안 데이터를 대조하여 이벤트의 현재 상태와 공통 벡터를 전체적으로 보여줍니다. 공개 및 비공개 데이터를 사용하여 주요 잠재적 APT 공격자와 전술, 그리고 이를 방어하는 방법을 결정할 수 있습니다.

조직은 위협 인텔리전스 플랫폼, 오픈 소스 위협 인텔리전스 피드, MITRE ATT&CK와 같은 프레임워크를 구현하여 위협 정보를 수집하고 이에 기반한 전략을 수립할 수 있습니다.

로깅 및 텔레메트리

사이버 보안 시스템, 네트워크, 자산 액세스 포인트, 엔드포인트 모니터링, 그리고 전반적인 시스템 상태 데이터에 대한 효과적이고 광범위한 로깅을 통해 보안 전문가는 비즈니스 시스템 전반을 포괄적으로 파악할 수 있습니다. 세분화된 로그를 유지하고 고급 분석을 구현하면 이상 탐지가 향상되고 예상치 못한 보안 이벤트에 대한 소급 조사가 지원됩니다.

기술

APT를 탐지, 무력화 및 완화하는 능력을 향상시키는 데 사용할 수 있는 몇 가지 기술이 있습니다. 이 보안 기술 스택의 몇 가지 핵심 기술은 다음과 같습니다.

• 침입 탐지 시스템(IDS): 네트워크 트래픽을 모니터링하여 이상 활동을 식별하는 도구입니다.
• 보안 정보 및 이벤트 관리 시스템(SIEM): 다양한 보안 시스템의 데이터를 상호 연결하여 실시간 위협 탐지 및 예상치 못한 보안 이벤트 대응을 제공하는 솔루션입니다.
• 엔드포인트 탐지 및 대응(EDR): 모든 회사 엔드포인트 디바이스를 매핑하고 모니터링하여 이상 징후를 식별하고 이에 자동으로 대응합니다.

계층형 보안

APT 보안 조치와 함께 계층화된 보안 전략을 구현하면 예기치 않은 보안 이벤트가 발생할 가능성을 더욱 낮출 수 있습니다. 네트워크 세분화를 도입하고, 저장 위치를 안전하게 보호하며, 최소 권한 액세스를 구현하고, 모든 회사 계정에 다단계 인증을 적용하며, 저장 데이터 및 전송 중 데이터에 대해 강력한 암호화 표준을 사용할 수 있습니다. 또한 네트워크 소프트웨어, 시스템 소프트웨어 및 애플리케이션 소프트웨어를 정기적으로 패치하면 알려진 취약성을 완화하는 데 도움이 됩니다.

교육

APT 및 기타 예기치 않은 사이버 보안 사고의 가장 일반적인 침투 경로 중 하나는 기업 직원과의 접촉을 통해 발생합니다. 피싱 사기나 직원이 손상된 링크를 클릭하도록 속이는 사회공학적 기법을 통해, 공격 집단은 조직 내부의 개인을 표적으로 삼는 경우가 많습니다. AI 기술의 발전으로 고급 사칭 기법이 점점 보편화되고 있습니다.

정기적인 보안 인식 프로그램을 실시하여 조직 내 소셜 엔지니어링 위협에 대응할 수 있습니다. 직원들은 APT의 초기 징후를 인지하고 보안 팀에 이벤트를 보고할 수 있어야 합니다.

AWS는 지능형 지속 위협으로부터 조직을 보호할 수 있도록 설계된 서비스를 제공합니다. AWS Security Hub는 통합된 가시성, 실행 가능한 인사이트, 자동화된 워크플로를 통해 클라우드 보안을 혁신합니다.

Amazon GuardDuty는 클라우드에 대해 완전히 확장 가능한 관리형 위협 탐지 기능을 제공합니다. Amazon GuardDuty는 비즈니스 중단을 최소화하는 데 도움이 되는 자동화된 분석과 맞춤형 개선 권장 사항을 통해 위협을 신속하게 식별하고 상관관계를 파악하고 이에 대응할 수 있습니다. Amazon GuardDuty는 AWS 계정, 워크로드 및 데이터를 보호하는 데 도움이 되는 지능형 위협 탐지 기능을 제공합니다.

Amazon Inspector는 Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스, 컨테이너 이미지, AWS Lambda 함수 및 코드 리포지토리와 같은 워크로드를 자동으로 검색하고 소프트웨어 취약성과 의도하지 않은 네트워크 노출이 있는지 검사합니다.

Amazon Macie는 기계 학습 및 패턴 일치를 사용하여 민감한 데이터를 검색하고, 데이터 보안 위험에 대한 가시성을 제공하며, 이러한 위험으로부터 데이터를 자동으로 보호합니다.

AWS Security Incident Response는 보안 인시던트에 대비하고 대응하고 피해를 복구하는 데 도움이 됩니다. Security Incident Response는 모니터링 및 조사를 자동화하고, 커뮤니케이션 및 조정을 가속화하고, AWS 고객 사고 대응팀(CIRT)에 연중무휴 24시간 직접 액세스할 수 있도록 합니다.

지금 무료 계정을 생성하여 AWS에서서 APT로부터 조직을 보호하는 여정을 시작해 보세요.