APT(Advanced Persistent Threat)

*정의
APT는 (Advanced Persistent Threat)의 약자로 '지능적 지속 위협' 이라는 뜻으로 조직이나 개인이 기업·조직 등 특정 대상을 먼저 선정하고 내부의 취약한 시스템을 이용해 침투한 다음 짧게는 3개월에서 길게는 1년 이상 오랫동안의 시간에 걸쳐 다양한 공격 기법을 활용해 피해자도 모르게 공격하는 방식이다.
  
  
기본 보안 솔루션 탐지의 어려움

*기존 악성코드 공격과의 차이점

구분	악성코드	APT
공격 분포	무차별 대량 살포	치밀하고 조직화된 계획
목표율	무작위 다수	정부기관, 단체, 기업
공격 빈도	일회성	지속성
공격 기술	악성코드 디자인	제로데이 익스플로잇 드로퍼, 백도어
탐지율	1개월 이내 샘플 발견 시 99%탐지	1개월 이내 샘플이 발견될 확률 10% 이하

*APT 공격 5단계

단계	내용
1. 사전조사&취약분석	공격할 대상을 조사하고, 공격 경로를 탐색하는 단계
2. 악성코드 전파	사이버 공격을 위해서 본격적으로 행동을 개시하는 단계
3. 지위&통제	감염기기의 시스템을 장악하는 단계
4. Lateral Movement	주위 시스템을 감염시키는 단계 (해커가 원하는 목표 시스템에 도달할 때까지 이뤄진다)
5. Attack	자료유출, 디도스 공격, 랜섬웨어 등으로 공격하는 단계

*국내/외 APT 이슈
  
2016년 APT 공격 발생 빈도 출처 : 파이어아이

2016년 파이어아이(Fireeye) 조사에 따르면 한국은 APT 노출률은 39%이며 이는 가장 높은 수치로 전 세계 평균 20%에 비해서 2배가량 되는 것 이였고 대부분의 APT 공격은 악성이메일을 통해 시도가 되어지고 기존의 랜섬웨어와 결합한 고도화 및 지능화적인 공격이 되어지고 있다.

  
  
  
*APT 대응 방안
  
APT 공격 예방을 위한 시스템 강화
  
1. 모든 운영체제와 웹 애플리케이션 및 관련 서버는 최신 버전을 유지하고 보안 패치를 적용한다.
  
2. WSUS(Windows Server Update Services)로 최신 보안 패치를 배포하고 설치한다.
  
3. 모든 시스템에는 안티바이러스 소프트웨어를 설치하고 안티바이러스 관리 서버에서 모니터링한다.
  
4. 모든 운영체제에 존재하는 사용하지 않는 사용자 계정은 비활성화하거나 삭제한다.
  
5. HSM(Host Security Monitoring, HIPS) 설치 후 모니터링하고 주기적으로 분석한다.
  
6. 터미널 서버에는 공용 계정을 삭제하고 저장된 계정 정보와 암호를 모두 삭제한다.
  
7. 터미널 서버에는 업무 목적별로 개별 계정을 생성한 후에 로그인 로그를 생성하고 관리한다.
  
8. 데이터베이스의 xp_cmdshell Procedure를 삭제하고 관련 파일 xplog70.dll을 삭제한다.
  
9. 데이터베이스 정보는 암호화해서 관리하되, 웹 서버에서 암호화하여 데이터베이스로 전송한다.
  
10. 웹 서버에는 SSL(Secure Socket Layer)를 활성화 한다.
  
11. 윈도우 이벤트 로그 및 IIS 웹 로그는 통합하여 로그 매니지먼트 서버에서 관리한다.
  

APT 공격 탐지를 위한 네트워크 제어
  
1. 백본 스위치에서는 화이트리스트 및 블랙리스트를 이중 정책으로 설정해 관리한다.
  
2. 기업 외부 네트워크에서 기업 내부로 접속할 때 IPSec VPN 혹은 SSL VPN을 이용하도록 한다.
  
3. IPSec VPN 혹은 SSL VPN 연결 시마다 발생하는 모든 VPN 로그를 별도로 관리한다.
  
4. VPN 계정은 업무 목적별로 생성하고, 권한도 구분하여 적용한다.
  
5. 기업 내부 아웃바운드 패킷에 대한 필터링을 적용한다.
  
6. 기업 내부 HTTP 통신은 모두 웹 프록시를 거치도록 운영하고 관리한다.
  
7. 기업 내부에서는 파일 공유 서비스 대신 SFTP 또는 SCP(Secure Copy)만 사용하도록 한다.
  
8. NIDS와 같은 NSM(Network Security Monitoring) 247을 운영 및 관리한다.
  
9. NIDS 이벤트 및 전체 세션 데이터와 전체 패킷을 저장하고 분석한다.
  
10. 업무 영역별로 네트워크 분리 후 각 업무 영역마다 방화벽을 설치하고 관리한다.
  
11. 시스템, 네트워크 및 데이터베이스 등 IT 관리 부서는 일반 업무 영역과 별도로 구분한다.