한국통신인터넷기술(주)

TMS (위협관리시스템)의 정의	TMS(Threat Management System) 솔루션은 전사적 IT인프라의 위협정보들을 수집·분석·경보·관리하는 정보보호 통합관리 시스템이며 실시간으로 공신력 있는 대외 정보보호기관의 위협정보들을 수집·분석하여 정보보호관리자에게 제공함으로써 각종 보안위협으로부터 사전 대응 및 예·경보 체계를 구축하고 이를 통해 알려지지 않은 공격들에 대한 조기 대응을 유도하는 시스템입니다
TMS 필요성	특정 정보 시스템으로 한정된 공격 패턴을 넘어선 전사적 인프라 스트럭쳐에 대한 공격으로 침해 사고 유형의 변화와 위협의 다양성 및 복합, 복잡성이 증가 하고 있기 때문에 관리자의 대응책 판단 곤란(위협 식별 및 우선순위 결정 곤란)으로 인하여 알려지지 않은 공격에 대한 보다 사전적이고 신속한 대응 체계가 필요 이 기종 단위 보안 제품에서 발생되는 이벤트의 중복 분석 곤란으로 보다 효과적인 보안 관리의 필요성이 대두 다양한 공격 유형별 단위 보안 솔루션 도입으로 제한된 인력의 과중한 업무 부담과 소홀한 관리와 운영에 따른 업무 효율성 저하로 Security Hole이 발생 이 기종 보안 솔루션에서 발생되는 False Positive는 관리자로 하여금 보안 경보(Security Warning)에 대한 신뢰도 저하 현상을 일으키는 단위 보안 솔루션의 한계점 발생
TMS 기능	1) 정보수집 기능 내부정보 수집 : 내부 자산에 대한 위협정보 수집. Agent 정책 할당 외부정보 수집 : 글로벌 취약점 정보, 대응정보, 보안권고 정보 등 예·경보를 위한 글로벌 정보 수집 2) 정보분석 기능 수집된 내·외부 정보를 상관분석하여 보다 신뢰성 있는 정보제공 분석된 정보에 대한 대응방안 제시 취약점 및 악성코드 분석 시스템 별 무결성 정보 분석 유해트래픽 분석 및 차단 예·경보 룰 설정 및 Alert 지정 시나리오 수립/적용 3) 대응 기능 수동적 대응 능동적 대응 4) 종합상황 관제 기능 위협 레벨 글로벌 침해 유형 및 침해 현황 내부 네트웍 운용·이상 현황 공격명 TOP10 및 블랙리스트 취약성 권고 정보 예·경보 정보 쪾각종 실시간 현황 정보 종합관제 5) 네트워크 관리 전사적 네트웍 관제 맵 실시간 이상유무 식별 실시간 트래픽 및 Resource 관제 네트웍 트래픽 분석
TMS 도입효과	단위보안 솔루션의 통합관리를 통한 관리인력 소요 절감의 효과를 얻을 수 있으며, 정보 보안과 관리 시스템을 구현한다. 전사적인 IT Infra structure 관제를 통한 광범위하면서도 체계적인 위협관리 시스템을 구현한다. 글로벌 침해·유해 정보 분석을 통해 조기·사전 대응 시스템 구축으로 IT 자산을 보호한다. 단위 보안 솔루션, Network Device, System 등 IT Infra Structure 전체에서 수집된 정보 분석을 통해 False Positive가 감소하게 되고 위협 경보의 정확성 및 신뢰도 향상을 가져온다. 국가 사이버 안전센터를 비롯한 공인된 정보보안 기관과의 자료 공유를 통한 침해 정보의 신뢰성을 제공한다.

ESM(Enterprise Security Management)의 정의	ESM은 기업 업무의 연속성을 위한 네트워크와 시스템 등의 주요 인프라에 대한 위협을 사전에 분석하고 예방하는 위협 요인 발생시 적절히 대응하기 위한 시스템. 기능별, 제품별로 모듈화된 보안관리 기능을 통합하여 일관되고, 직관적인 관리자 및 사용자 인터페이스를 제공하기 위한 개념. 효율적이고 컴플라이언스를 준수하는 채계적인 보안 관리시스템을 구축합니다. 표준 정책 기반 하에 모든 시스템의 통합 보안 관리를 이용한 보안관제의 효율성을 제공하기 위한 솔루션. 침입차단시스템(방화벽), 침입탐지시스템(IDS), 가상사설망(VPN), 안티바이러스 등 다양한 종류의 보안 솔루션을 하나로 통합해 관리 할 수 있는 솔루션.
SIEM(Security Information & Event Management)의 정의	SIEM은 네트워크와 보안장비로부터 정보를 모으고, 분석하여 제시하는 시스템으로 관리 프로그램의 식별과 접근, 취약점 관리와 정책, 운영체제, 데이터베이스와 프로그램 로그, 그리고 외부 위협을 포함하는 것으로 SIM(Security Information Management)와 SEM(Security Event Mana- gement)이 조합된 솔루션. 네트워크, 하드웨어 및 응용 프로그램에 의해 생성된 보안 경고의 실시간 분석 솔루션

ESM(Enterprise Security Management)의 정의

ESM은 기업 업무의 연속성을 위한 네트워크와 시스템 등의 주요 인프라에 대한 위협을 사전에 분석하고 예방하는 위협 요인 발생시 적절히 대응하기 위한 시스템.

기능별, 제품별로 모듈화된 보안관리 기능을 통합하여 일관되고, 직관적인 관리자 및 사용자 인터페이스를 제공하기 위한 개념.
효율적이고 컴플라이언스를 준수하는 채계적인 보안 관리시스템을 구축합니다. 표준 정책 기반 하에 모든 시스템의 통합 보안 관리를 이용한 보안관제의 효율성을 제공하기 위한 솔루션.
침입차단시스템(방화벽), 침입탐지시스템(IDS), 가상사설망(VPN), 안티바이러스 등 다양한 종류의 보안 솔루션을 하나로 통합해 관리 할 수 있는 솔루션.

SIEM(Security Information & Event Management)의 정의

SIEM은 네트워크와 보안장비로부터 정보를 모으고, 분석하여 제시하는 시스템으로 관리 프로그램의 식별과 접근, 취약점 관리와 정책, 운영체제, 데이터베이스와 프로그램 로그, 그리고 외부 위협을 포함하는 것으로 SIM(Security Information Management)와 SEM(Security Event Mana-
gement)이 조합된 솔루션.

네트워크, 하드웨어 및 응용 프로그램에 의해 생성된 보안 경고의 실시간 분석 솔루션

*ESM 과 SIEM의 비교

항목	ESM (Enterprise Security Management)	SIEM (Security Information and Event Management)	차이점
정의	- 기업의 다양한 보안시스템을 관제, 운영, 관리함 - 중앙에서 통합적으로 보안 현황을 모니터링	- 기업 내에서 발생하는 모든 자원의 정보 및 보안, 이벤트를 통합 관리 - 로그수집 및 보안 모니터링 관련 규제 준수	장애관리의 관점에서 운영 및 및 심층 분석, 규제준수 관심으로 확대
관리/분석 대상	보안시스템, 서버시스템 로그, 이벤트, 경고 등	- 보안시스템, 보안 S/W, 서버시스템, 네트워크장비, 어플리케이션 등 - 로그, 이벤트, 경고 구성정보, 시스템 감사정보, 네트워크 흐름, 웹 활동 등	관리 및 분석 범위 확대
핵심 용도	보안 위협 발생 시 대처, 시스템 별 가용성 체크	- 보안 위협 예측 및 모니터링, 상관분석 및 심층 분석 - 지능화, 고도화, 신종 보안 위협 대응, 대용량 데이터 분석	최신 보안 위협 트렌드 대응(APT공격, 장기간 공격 등)
위협 탐지 특징	- IP, Port 등 시그니처 중심의 네트워크 계층 탐지 - 단순 패턴 기반 탐지 - 알려진 공격 위주 분석, - 단시간(최대1일)범위 분석	- IP, Port 외 어플리케이션, 사용자 단위, 프로토콜 등 연관성 분석 및 탐지 - 다양한 룰/시나리오 적용(프로세스, 활동성, 트랜젝션 등) APT 등 알려지지 않은 공격 및 공격간의 연관성 분석, 정상상태에서의 정보위협 분석 등 장시간(수개월) 범위 분석 수용	심층분석, 연관 분석 지원
수집/저장	- 보안 현황 모니터링에 필요한 이벤트 정보 위주 - 정형데이터 기준, 원본로그 보관 안함 (수집 데이터 보존기간 :1~2개월)	- Agent 이외 프로토콜 활용한 데이터 수집 - Indexing, MapReduce 등 빅데이터 처리 기반 상관 분석 및 리포트 (성능: 초당 3~5만건 이상, 수집/분석 포함(Indexing/병렬 처리 구조))	RDBMS 기반의 처리속도 지연을 극복
시각화	대시보드, 정형 보고서 제공	대시보드, 정형 보고서. 사용자 보고서, 시각화 보고서 제공	다양한 Report 지원
사용자	보안관리자, 관제요원 위주	보안관리자, 관제요원, 각 업무시스템 병 담당자, 개인정보 보호 담당자, 대외서비스 담당자 등	사용자 관점에서 다양한 리포트 제공 (대시보드, 리포트 등)
탐지오류	오탐/과탐 비교적 많은(이벤트 위주 탐지)	오탐/과탐 비교적 없음(대용량 데이터 위주 탐지)	탐지 정확도 높음

DDoS(Distributed Denial of Service)개요

인터넷 해킹은 허가 받지 않은 사용자가 불법적으로 서버에 접속하여 데이터를 복사, 삭제 등 원격으로 임의로 제어하는 것을 말함
DDOS는 원격의 공격대상 네트워크나 서버에서 처리할 수 없을 만큼의 많은 양의 데이터를 동시에 전송하여 서버가 더 이상의 서비스를 거부하는 것을 의미함

DDoS 개념 및 종류

1) 개념도

공격자(Attacker)는 SPAM 메일이나 웜 바이러스를 통해 마스터를 제어하고 마스터는 또 다시 인터넷상의 불특정 다수의 슬래이브들을 공격하여 슬래이브들은 공격자의 지시에 의해 일정시간에 한번에 희생자(Victim)을 공격하여 더 이상 서비스가 불가능하도록 함
공격이 동시에 여러 곳에서 분산되어 일어나므로 DDOS라고 함

2) 서비스 거부 공격 DDOS 종류

종류	DDoS특성	방지대책
SYN FLOOD	Spoofing된 IP로 과도한 sync 연결	방화벽
UDP FLOOD	허용치 보다 초과된 UDP 패킷 전송	IPS, DDOS적용장비
Zombie 공격	정상적인 IP에서 대량의 TCP전송	DDOS적용장비
DNS 공격	DNS 서버로 대량의 UDP, 전송	DNS분산(네트워크 분산

3) DDOS 공격 방지 장비

장비명	주요기능	단점
방화벽	Sync Flooding 방지	Anti-Spoofing 기능 없슴
라우터	ACL, Backholding을 이용한 패킷차단 (패킷 필터링)	수동적인 대응방안
IPS	Signature 기반 DDOS 방지	Attack 취약
Anti-DDoS	Network 행동기반 분석으로 자동 DDOS방지	Learning time 필요

DDoS 공격 대응 절차 및 목적

1단계: 공격 인지를 위한 체크포인트) 웹서비스 관련 이벤트 발생 시 해당 원인이 DDoS 공격으로 인한 것인지에 대한 명확한 판단이 필요
2단계: DDoS 공격 유형 파악) DDoS 공격 유형을 명확히 파악하여 차단정책 설정을 위한 근거로 활용
3단계: 공격유형에 따른 차단정책 정의 및 대응) 공격의 유형과 목적을 명확히 판단하여 차단정책을 설정함으로써 웹서비스의 가용성 확보
4단계: 공격 대응 후, 사후조치) 공격트래픽 분석을 통해 공격 내용을 상세히 규명함으로써 추가 발생할 수 있는 공격 대비를 위해 정책을 업데이트하고 좀비 PC IP를 확보

랜섬웨어 개요	랜섬웨어(Ransomeware)는 ransome(몸값)과 ware(제품)의 합성어로 컴퓨터 사용자의 문서를 “인질”로 잡고 돈을 요구한다고 해서 붙여진 명칭으로 기존 바이러스가 직접적으로 돈을 요구한 경우는 극히 드물었으나, 랜섬웨어는 이전과 달리 돈을 요구하고 있습니다. 랜섬웨어에 감염된 컴퓨터의 문서와 그림 파일 등에 암호를 걸어 사용자가 열 수 없게 만든 후 전자우편등을 통해 해독용 열쇠 프로그램을 전송해 준다며 돈을 요구하게 되는 것입니다. 즉, 납치범이 인질을 손에 넣고 랜섬(Ransome: 몸값)을 요구하는 것과 같습니다.
랜섬웨어 특징	컴퓨터 안의 모든 문서와 자료에 비밀번호(암호화)를 걸어놓고 “돈을 보내면 문제를 해결해 주겠다”란 팝업창이 뜨는 현상이 계속해서 발생하는 랜섬웨어는 주로 이메일과 소셜네트워크 서비스(SNS), 메신저 등을 통해 전송된 첨부파일을 실행하거나 웹사이트 등을 방문해서 감염되는 걸로 알려져 있습니다. 작년 미국에서만 수백만 명이 피해를 당하고 피해액이 3백억원에 달하는 것으로 알려진 랜섬웨어 방식의 해킹이 국내에서도 등장해 피해를 당한 것으로 확인되었습니다. 랜섬웨어는 오픈소스 암호화 프로그램을 사용하여 감염 PC에 있는 문서나 그림파일을 암호화 합니다. 랜섬웨어가 암호화 하는 파일의 종류 .xls, .xlsx, .doc, .docx, .pdf, .jpg, .cd, .jpeg, .1cd, .rar, .mdb, .zip
랜섬웨어 종류	스케어웨어(Scareware) 스케어웨어라고 알려진 이 랜섬웨어는 가장 단순한 형태의 악성코드로 대체로 가짜 안티바이러스 프로그램이나 바이러스 제거 툴로 위장해 PC에 문제가 많으니 돈을 내고 이를 고쳐야 한다고 경고합니다. 이런 류의 랜섬웨어 가운데 일부는 PC를 사용할 수 있게는 하지만 대신 경고 창과 팝업으로 도배를 해서 불편을 주거나 아예 프로그램 작동이 안 되게 하는 것도 있습니다. 락-스크린 바이러스(Lock-Screen Viruses) 락-스크린 바이러스라 부르는 랜섬웨어는 PC를 전혀 사용할 수 없게 합니다. 일반적으로 풀 사이즈 윈도우 창을 여러 개 띄우는데 FBI나 사법부 로고를 박아놓고 불법 다운로드 등으로 법을 어겼으니 벌금을 내야 한다고 협박합니다. 네스티 스터프(Really nasty stuff) 네스티 스터프 바이러스는 돈을 내지 않으면 컴퓨터의 개인 파일이나 자료를 전혀 열어보지 못하게 하는 것으로, 대표적인 예로는 크립토락커(CrytoLocker)가 있습니다. 크립토락커(CryptoLocker) 크립토락커 바이러스는 피해자 컴퓨터의 파일을 암호화한 후 비트코인이나 현금 결제 방식으로 300달러 가량을 보내지 않으면 풀어주지 않겠다고 협박합니다. 크립토월(CryptoWall) CryptoWall은 CryptoLocker의 상위 버전으로, 악성 페이로드를 정상 파일이나 프로그램으로 위장하는 것으로 알려진 파일 암호화 랜섬웨어로, 이 페이로드는 복호화 키를 인질로 돈을 요구하기 위해 감염된 컴퓨터에 있는 파일을 암호화 합니다. CryptoWall은 C&C 서버와 통신을 위해 서버를 사용하며, 하드 코딩 된 URL의 숫자로 HTTP를 통해 연결을 시도. 그런 다음 이러한 URL에서 RC4 암호화 파일 다운로드를 시도합니다. 파일은 키 자체보다 암호화된 키 길이를 먼저 볼 수 있도록 구성되어 있습니다. 시노락커(SynoLocker) Synology 회사에서 제조된 네트워크 연결 스토리지(Network- Attached Storage:NAS)기기의 원격 엑세스 기능을 이용하여 Synology DSM-OS 구 버전의 취약점을 통해 감염. 기기에 있는 파일들을 암호화 합니다. 이러한 악용에 의해 “SynoLocker”라는 별명을 가진 랜섬웨어가 계속해서 깔리게 됩니다. ※ 장치가 SynoLocker에 의해 감염되면, 악성코드는 장치에 있는 파일들을 암호화 시킨다.
랜섬웨어 침해시 조치 방안	침해시 실제 파일의 ICON이 흰색으로 변경 되었다가 원래 ICON으로 변경되며, 폴더마다 3~4개의 안내 파일이 생성됩니다. [침해시 대처방안] 1) PC의 전원을 종료 랜섬웨어 감염과 동시에 확인될 경우 해당 OS를 운영체제에서 랜섬웨어가 동작하므로 PC를 강제적으로 종료하여 추가적인 파일 변조 방지. 2) 해당 Disk를 분리하여 감염되지 않은 백신이 설치된 PC에 Disk를 연결하여 해당 Disk바이러스 검사/치료 3) 감염되지 않은 파일을 확인하여 다른 저장 장치로 복사 4) Windows 시스템 보호 기능을 사용한 경우 손상을 입은 파일 일부도 이전 상태로 되돌릴 수 있습니다. 5) Windows 시스템 보호 기능을 사용하지 않은 경우 해당 Disk 는 OS를 새로 설치하여 사용하는 것이 안전합니다. [파일 위변조 후 대처방안] 1) 인터넷 연결 차단 내부 네트워크의 2차 감염 확산 방지 2) 감염이 의심되는 E-Mail 의 첨부파일, 웹 링크등을 보안센터에 제보 후 삭제 3) Windows 시스템 보호기능을 사용한 경우 손상을 입은 파일 일부도 이전 상태로 복구 가능합니다. 4) 암호화 안내파일 (사용자 시작 프로그램 폴더, 암호화된 폴더에 위치함) HELP_DECRYPT.HTML, HELP_DECRYPT.PNG, HELP_DECRYPT.TXT 및 HELP_DECRYPT .URL 5) 악성코드가 발견된 파일의 일부 위치 %Temp%C:\\.exe %AppData% %LocalAppData% %ProgramData% [CrpytoWall과 같은 랜섬웨어에 의해 암호화된 파일 복원 방법] 1) 방법1 : 백업 가장 좋은 방법은 최근의 백업에서 데이터를 복원하는 방법임 2) 방법2 : 파일 복구 소프트웨어 CrpytoWall 은 파일을 암호화 하는 경우 먼저 복사본을 만들어 암호화 한 후 원본을 삭제한다. 따라서 파일 복구 소프트웨어 (R-Studio or PhotoRec)을 통해 원래의 일부 파일을 복구 할 수 있다. 3) 방법3 : 쉐도우 볼륨 사본(Windows 시스템 보호기능 사용시) Windows 시스템 보호기능 활성화 시 shadowExplorer를 통한 쉐도우 볼륨 사본을 복원 (※ Windows XP 서비스팩2, 비스타, Windows 7, Windows 8 에서만 사용할 수 있음)
피해 예방 활동	1) 주기적인 데이터 백업과 최신보안 업데이트 랜섬웨어를 예방하는 것도 다른 악성코드 예방과 비슷하며, 중요 데이터에 대한 주기적인 백업(중요 데이터는 로컬디스크가 아닌 별도의 저장매체에 저장)과 안정성이 검증된 SW설치, 최신보안 업데이트, 안티 바이러스 백신(최신 버전으로 유지)을 설치하여 주기적으로 관리하여야 합니다. 2) 소프트웨어 제한 정책 설정 특정경로에 있는 실행을 차단하는 소프트웨어 제한 정책의 규칙을 만들어 사전 실행을 차단 방법 : MS의 소프트웨어 제한 정책 설정 로컬 보안 정책 : 시작 -> 실행. secpol.msc 입력 후 확인. (소프트웨어 제한 정책 클릭) -소프트웨어 제한 정책 구성방법 참조- http://support.microsoft.com/ko-kr/kb/310791 https://technet.microsoft.com/en-us/library/cc786941(v=ws.10).aspx - 소프트웨어 제한 정책 설정 (규칙설정) %AppData % 에서 CryptoWall 실행 차단 경로 : %AppData%\.exe 보안 수준 : 허용 안 함 설명 : %AppData %에서 실행을 허용하지 않음 %LocalAppData % 에서 CryptoWall 실행 차단 Path if using Windows XP: %UserProfile%\Local Settings\.exe Path if using Windows Vista/7/8: %LocalAppData%\.exe 보안 수준 : 허용 안 함 설명 : %AppData %에서 실행을 허용하지 않음 % AppData %에서 ZBOT 실행 차단 Path : %AppData%\\.exe 보안 수준 : 허용되지 않는 설명 : %AppData % 하위 폴더에서 실행을 허용하지 않음 %LocalAppData % 에서 ZBOT 실행 차단 Path if using Windows XP: %UserProfile%\Local Settings\\.exe Path if using Windows Vista/7/8: %LocalAppData%\\.exe 보안 수준 : 허용 안 함 설명 : % AppData % 하위 폴더에서 실행을 허용하지 않음 아카이브 첨부 파일에서 WinRAR의 실행 차단 Path if using Windows XP: %UserProfile%\Local Settings\Temp\Rar\.exe Path if using Windows Vista/7/8: %LocalAppData%\Temp\Rar\.exe 보안 수준 : 허용 안 함 설명 : 아카이브 첨부 파일에서 WinRAR과 함께 열리는 실행 파일 차단 아카이브 첨부 파일에서 7zip의 실행 차단 Path if using Windows XP: %UserProfile%\Local Settings\Temp\7z\.exe Path if using Windows Vista/7/8: %LocalAppData%\Temp\7z\.exe 보안 수준 : 허용 안 함 설명 : 아카이브 첨부 파일에서 7zip과 함께 열리는 실행 파일 차단 아카이브 첨부 파일에서 WinZip의 실행 차단 Path if using Windows XP: %UserProfile%\Local Settings\Temp\wz\.exe Path if using Windows Vista/7/8: %LocalAppData%\Temp\wz\*.exe 보안 수준 : 허용 안 함 설명 : 아카이브 첨부 파일에서 WinZip과 함께 열리는 실행 파일 차단

APT(Advanced Persistent Threats)의 개요	APT란 “지능적 지속 위협(Advanced Persistent Threats)”으로 다양한 IT 기술과 방식들을 이용해 조직적으로 경제적이거나 정치적인 목적을 위해 다양한 보안 위협들을 생산해 지속적으로 특정 대상에 가하는 일련의 공격 행위를 말한다. 즉, APT 란 특정 기업이나 조직 네트워크에 침투해 활동 거점을 마련한 뒤 정보를 외부로 빼돌리는 형태의 공격으로 APT는 하나의 공격 방법이나 수단이 아니며, 공격자가 특정 대상을 목표로 다양한 해킹 기술을 이용해 은밀하게 지속적으로 공격하는 행위를 의미합니다.
APT 특징	특정 기업이나 조직을 노리는 표적 공격은 "드라이브-바이 다운로드( Drive-by download) SQL 인젠션, 악성코드, 스파이웨어, 피싱이나 스팸 등 다양한 공격 기술을 사용한다. APT공격도 이 같은 기술들을 사용하지만 성공률을 높이고 첨단 보안 탐지 기법을 회피하기 위해 Zero-Day 취약점, 루트킷과 같은 고도의 공격 기술을 복합적으로 이용하기 때문에 지능적이고 위협적이며, 당한 기업들도 보안사고가 터지기 전까지는 APT공격에 당했다는 사실 조차 모르는 경우가 대부분이다. 1) 지능적 (Advanced) 일반적인 공격과 더불어 APT는 Zero-Day 취약점, 루트킷과 같은 고도의 지능적인 보안 위협을 동시에 이용하여 목표에 침투하여 은밀히 정보를 빼돌리는 킬 체인(Kill Chain)을 생성한다. 2) 지속적 (Persistent) APT 공격은 보안 탐지를 회피하기 위하여 은밀하고, 천천히 움직여야 하기 때문에 일반적인 공격에 비해 몇 배나 되는 엄청난 긴 시간 동안 공격이 행해진다. 다수의 표적 공격이 순식간에 목표를 공격해 필요한 정보를 탈취해 간다면, APT는 목표 시스템에 활동 거점을 마련한 후 은밀히 활동, 새로운 기술과 방식이 적용된 보안 공격들을 지속적으로 공격해 정보 유출이나 삭제, 시스템에 대한 물리적인 피해 등 공격자들이 궁극적으로 원하는 목적을 이루는 공격이다. 3) 공격의 동기(Motivated) APT는 주로 국가간 첩보 활동이나 기간 시설 파괴 등의 특정 목적을 달성하기 위해 행해지며, 대부분 배후에 후원하는 첩보 조직이나 단체가 연관되어 잇다. 이는 APT가 단순히 정보 유출만을 노리는 것이 아니라 공격자가 지속적으로 표적을 원격 조종하여 정보 유출을 포함하여, 시스템 운영을 방해하거나 물리적인 타격까지 노리고 있다는 것을 말해준다. 4) 공격의 목적(Tageted) 지적, 재산권이나 가치 있는 고객 정보를 가진 거의 모든 조직들이 표적 공격의 대상이라면, APT는 주로 정부 기관이나, 기간 시설, 방위 산업체, 그리고 전세계적으로 경쟁력 있는 제품, 기술을 보유한 주요 기업들과 이들의 협력업체 및 파트너사들을 노림.
APT 침투 과정	1.목표 설정 및 사전 조사→ 2.악성코드 최초 감염→ 3.내부망으로 확대 및 백도어 및 툴 설치→ 4.권한 상승 및 탈취→ 5.내부 인프라 장악→ 6.보안 사고유발
APT 공격에 대한 대응책	APT 공격을 막기 위한 10가지 방법 1) 조직의 핵심 자산을 파악하라 보호가 필요한 핵심 자산을 파악해야 보호할 수준을 정할 수 있다. 2) 경영진부터 일반 직원까지 보안 필요성을 인식하라 보안인식 제고 및 지속적인 교육을 통해 보안 수준을 높여야 한다. 3) 체계적인 보안을 위해 보안 관리체계를 구축하라 PIMS, ISMS, ISO27001 등 필요한 관리체계를 구축하고 강화해야 한다. 관리체계가 구축되어 있으면 피해를 최소화 할수 있다. 4) CERT 등 IT 보안을 위한 전담 팀을 구축하라 평시 사고예방 및 대응을 위한 전담 팀이 필요하다. 관련 전담 팀이 있다면 효과적인 대응이 가능하다. 5) 핵심 자산의 접근은 최소 인원만 허가하고 관리하라 인사정보, 개인정보 등 주요 정보는 최소한의 허가된 자만 접근해야 한다. 6) 사용자별 접근권한을 다르게 설정하라 APT 공격은 취약한 단말을 경유하여 시스템에 접근하므로 중요 정보에 대한 접근 권한관리가 필요하다. 7) 외부로부터의 공격, 내부로부터의 정보 유출 지점을 파악하라 사용하는 유선, 무선 네트워크, USB 등 보조기억매체를 점검한다. 8) 필요한 경우 망을 분리하라 인터넷과 내부망을 물리적으로 분리하면 인터넷을 이용한 악성코드 감염, 내부정보 유출을 막을 수 있다. 9) 보안 업데이트, 최신 백신을 설치하고 악성코드 침투를 예방하라 사용자의 단말이 공격받지 않도록 보안 업데이트, 허가된 프로그램만 사용, 출처가 불분명한 이메일 열람 금지, 불법 SW를 사용하지 않아야 한다. 10) 핵심 자산을 보호하기 위한 보안솔루션을 도입하라 암호화, 데이터 유출 방지, 외부 악성코드 유입 방지 등 보안 솔루션을 도입하라. ※ 한국인터넷진흥원(KISA) 제공 ”APT공격 예방 10가지 방법”

보안지식

견적문의

Contact Us