이메일을 적으시면 보안관련 소식을 받을수 있습니다.
이메일:
안녕하세요 김태영입니다.

이번 포스트에서는 전 포스팅에 이어 APT의 공격의 방법과 형태에 대해서 알아보기 위해 필요한 지식들을 정리하여 보겠습니다.

 네이트 해킹의 사례에서 보면, 각기 다른 형태의 악성코드이 미리 네이트측 서버나 네트워크에 잠복해 있다가 일제히 활동을 개시하였습니다.

공격에 사용된 악성코드들은 백도어 확보용정보 수집용정보 전송용 악성코드들로 역할이 분담되어 있었던 것으로 보입니다.
 
각각의 악성코드들로 보면, 새로운 기술들은 아닙니다. 
악성코드(惡性-) 또는 맬웨어(Malware)는 컴퓨터에 악영향을 끼칠 수 있는 모든 소프트웨어의 총칭이다 - 출처:Wikipedia

1. 백도어 확보용 악성코드
 

  백도어 확보용 악성코드는 주로 트로이 목마(Trojan) 의 형태로 많이 전파되어 왔습니다. 트로이 목마는 오딧세우스의 소설에 등장하는 것으로 트로이 전쟁 동안 사용된 커다랗고 속이 텅 빈 목마입니다. 그리스는 이 목마 속에 병사들을 숨긴 채 트로이 성 입구에 놓아 두었고, 그것을 일종의 선물로 생각한 트로이 사람들은 의심없이 목마를 성 안에 들여놓았으며, 트로이 병사들이 잠든 틈을 노려 그리스의 병사들이 목마속에서 나와 도시를 공격하고 공격에 성공하였습니다. 
  트로이 목마 바이러스도 이와 다르지 않습니다. 그래서 트로이 목마 바이러스라고 불리게 된 것이겠지요. 트로이 목마 바이러스는 정상적인 기능을 하는 프로그램으로 가장하여 사용자들이 프로그램을 사용하게끔 유도하고 사용자의 컴퓨터 내부로 침투하게 됩니다. 여기서 이미 게임은 끝났다고 보아야 합니다. 공격자는 피해자의 방어막을 힘들게 뚫을 필요도 없이 피해자가 자진해서 자신의 시스템 내부에 자신의 노력을 들여 '설치' 까지 해 주었으니까요.


여기서 또 중요한 개념이 나오게 됩니다.

2. 사회공학적 공격
사회공학이란 보안학적 측면에서 기술적인 방법이 아닌 사람들간의 기본적인 신뢰를 기반으로 사람을 속여 비밀 정보를 획득하는 기법을 일컫는다 - 출처:Wikipedia

  아마 시스템 전체적으로 가장 취약한 부분이 '사람' 이라는데에 이의를 제기하실 분이 계실지 모르겠습니다. 공격자는 일반적으로 공격 대상(조직)을 공격하기 위해 조직의 조직원을 타겟으로 잡고, 조직원의 나태, 태만, 선한 태도, 의욕 등을 악용합니다. 공격 대상은 자신이 속았다는 사실을 인지하지도 못하거나, 이미 인지하였다 하더라도, 자신의 실수를 인정하거나 공개하기 꺼려하기 때문에 발견되기가 쉽지 않습니다. 자신도 모르는 사이에 공격자의 공조자가 되어 버리는 것이죠. 
  가끔 APT 관련 뉴스가 나올때마다 '과연 내부자의 도움이 있었는가?' 라는 물음이 나오게 되는데, 당연히 내부자의 도움이 없이는 이런 공격이 성공할 수가 없습니다. 하지만 그 '내부자의 도움' 이란 것이 공격자와 함께 짝짜꿍해서 손발을 맞춘 것이 아니라는 것이 문제죠, 누구나 방심하면 공격자의 '공조자'가 될 수 있음을 명심해야 하겠습니다.

사회 공학적 공격의 유형은 엄청나게 다양합니다.

2-1.인간 기반 사회 공학 기법 
직접적으로 접근(Direct Approach)
어깨너머로 훔쳐보기(Shoulder Surfing)
휴지통 뒤지기(Dumpster Diving) 등으로 나눌 수 있습니다.

2-1-1.직접적으로 접근하는 방법

조직원보다 상급자로 위장하여 정보를 획득하는 방법
무척 긴급한 상황을 연출하여 동정심을 통해 원하는 정보를 획득하는 방법
사전에 유출된 개인정보를 이용하여 공격자를 믿도록 만든 뒤, 사람사이의 기본적인 신뢰를 이용해 원하는 정보를 획득하는 방법


이는 APT 공격에서 공격 시작 단계에서 이루어 지기에 알맞으며, 기존의 보안체계를 완전히 우회할 수 있는 길이 될 수도 있습니다. 하지만 공격자의 직접적인 접근이 필요하며, 신분이 노출 될 위험 또한 가지고 있습니다.

2-2.컴퓨터 기반 사회 공학 기법

피싱(Phishing), 파밍(Pharming), 이메일(e-mail), SNS(Social Network Service), 시스템 포렌식(System Forensic) 등을 이용합니다.

2-2-1.피싱
사회 공학적 공격에 있어서 가장 일반적인 공격 방법이며, 사용자를 속이는 모든 형태를 포함하는 공격법이라고 보시면 되겟습니다. 워낙 교묘하고 방대해 지고 있어서, 주의하지 않으면 누구나 당할 수 있는 공격입니다.

2-2-2.파밍
피싱의 특정한 형태이며, 이미 존재하고 있는 도메인을 탈취하거나 DNS를 조작하여 공격자가 만든 공격용 사이트를 사용자가 진짜 사이트에 접속한 것으로 오인하도록 유도하여 개인정보를 훔치는 기법을 말합니다.

2-2-3.SNS
컴퓨터 기반 사회 공학 기법은 SNS가 일반화되고 발전되면서 그 영향력이 점점 커지고 있습니다.

3.정보 수집형 악성코드

기존에 웹 사이트 등에서 이메일 주소나 핸드폰 번호 등의 개인정보를 수집하는 형태로 많이 존재하여 왔습니다.

4. 정보 전송형 악성코드

기존의 은닉형 바이러스의 특징을 많이 가지고 있습니다.
방화벽이나 기존 보안망을 우회하며 정보 전송, 커뮤니케이션 등의 기능에 특화되어 있습니다
 
 5. 결론

  기존의 공격과 크게 다르지 않은것 같은데 APT는 대체 무엇이 특별해서, 다들 APT, APT 하고 있는 걸까요, 필자의 생각으로는 기존의 악성코드들은 불특정 다수를 노리는 형태였다면, APT는 경제적이거나 사회적인 목적을 위해 특정 대상을 겨냥하여 지속적으로 공격한다는 특징을 가지고 있습니다. 특정 집단을 공격하기 위해 지속적으로 정보를 수집하여 특정 집단만을 위한 악성코드를 개발하고 공격하여 목적을 달성한다는 것입니다.
  또한 여러 종류의 악성코드들이 '팀'을 이루어 협업을 하기 위해서는 공격자의 의도에 따른 일사분란한 작동이 필요합니다. 그러므로 각각의 악성코드들을 통제하기 위한 명령 체계가 필요합니다. 각각의 악성코드들은 명령체계를 통해 더이상 힘없는 하나의 악성코드가 아니라 거대한 APT 공격의 일원으로서 작동하게 됩니다. 

다음 포스팅에서는 이러한 정보들을 통해 악성코드가 어떻게 네이트와 같은 거대 조직을 해킹할 수 있을지, 공격 방법에 대한 시나리오를 소개하려고 합니다.

 부족한 포스팅 여기서 마치고 많은 피드백 부탁드립니다.

감사합니다! 

참고자료
 http://ko.wikipedia.org/wiki/%EC%95%85%EC%84%B1%EC%BD%94%EB%93%9C
 
http://support.oullim.co.kr/portal/Techletter/goTechletter.asp?foldname=20090630&filename=news4.htm
저작자 표시 비영리 동일 조건 변경 허락
신고
****************************************************************************************************

본 포스팅의 저작권은 보안인닷컴과 작성자에 있으며 상업적 이용을 배제하며 콘텐츠 이용시에는 반드시 출처와 링크를 이용해 주시기 바랍니다. 무단도용은 저작권법에 저촉을 받습니다..

****************************************************************************************************

Posted by 리츄

댓글을 달아 주세요