* 개요
- 요즘 APT (Advanced Persistenct Threat) 지능형 지속 공격이라는 이야기가 보안세미나, 네트워크 잡지, 보안커뮤니티등 많이 들리고 있습니다. 간단히 말씀 드리면 정부 또는 특정 회사의 중요 정보 획득, 정치적 목적, 사이버 테러 등을 목적으로 하는 해커에 의해 사이트, 기업, 개인을 상대로 지속적으로 해킹 공격을 말하고, 최근 전세계적인 해킹 공격의 트랜드 입니다.
* 정보 유출 경위
APT 공격을 통하여 보안사고의 유형을 보면, 내부자 PC 가 알려지지 않는 악성코드로 인하여 유입되고 어떠한 보안 장비, 방화벽, IPS, 안티바이러스 등을 우회하여 잠입하고 오랜기간 머물면서 정보를 취득하게 됩니다. 예를 들면 키보드 모니터링, 마우스 모니터링, 내부 네트워크 분석 등 다양한 방법으로 정보를 조금씩 해커의 서버로 전송하게 됩니다. 또한 전송도 암호화되고, 자바스크립트 난독화(암호화)를 통하여 보내기 때문에 더더욱 이를 감지하기는 어려운 실정입니다.
* 대응대책 1
해커가 정보를 빼나가는 경로 즉 인터넷을 사용하면서 문제가 발생하기 때문에 인터넷 구간을 전문적인 장비로 해커가 정보를 빼나가기 전에 대처해야 합니다. 이를 위해서 RSA Netwitness 를 가지고 인터넷 경로에 설치 (미러링 또는 Tab장비) 모든 Inbound/Outbound 트래픽을 수집하고(Decoder/Concentrator) TCP/IP 통신을 분석하고 (Investigator), 고객사에서 사용중인 안티바이러스가 치료가 가능한지, 불가능한지, 분석하고 (Spectrum), 종합적인 분석, 통계(Informer)가 가능하여야 합니다.
* 대응대책 2
만약 유입된 악성코드가 분석, 발견되었다면, 조직이 취해야할 조치는 방화벽, IPS 에서 해당 악성코드를 차단하여야 하며, 향후 이러한 것을 차단하기 위하여 안티바이러스에서도 패턴을 가지고 있어야 합니다. 이를 위하여 Spectrum 에서 악성코드를 수집하고 리포팅을 고객사 사용 백신회사에 전달하여 대응하여야 합니다.
* 대응대책 3
대응대책 2에서 나왔던 방화벽, IPS 에서 Netwitness 에서 분석된 악성코드를 좀더 지능화된 방법으로 차단을 하려면 같이 연동이 되어 있는 차세대 방화벽 Palo Alto 제품을 사용하시게 되면 좀더 효율적인 대응체계가 만들어 집니다.
* 결론
최근에는 이러한 악성코드가 사회공학 기법 즉 사람을 가지고 속이기도 합니다. 예를 들면, 최근 이슈가 되었던 연애인 한성주 동영상에도 이러한 것들이 포함되어 호기심을 자극하여 동영상 파일을 열어보게 하기도 합니다. 이런 여러가지 공격기법을 통하여 다양하고 지능화된 공격을 기존에 보안 장비로 방어를 하실 수 없으며, 좀더 지능화된 RSA Netwitness 와 같은 항시 대응체계를 마련을 하는 것이 중요합니다.
'IT News > Security' 카테고리의 다른 글
스푸핑(Spoofing)에 관한 모든 것 (0) | 2013.12.20 |
---|---|
"사이버보안은 과장됐다" (0) | 2013.09.01 |
美 첩보기관, 북한 등 231개국 사이버 공격 (0) | 2013.09.01 |
구글 보안팀, 안철수 연구소가 권하는 보안 10계명 (0) | 2013.08.28 |
제로데이 공격에 대처하는 방법 (0) | 2013.08.19 |