APT(지능형 지속 위협)

APT 공격은 동기가 있고 자원이 풍부한 공격자가 수행하는 사이버 공격의 한 유형으로, 공격 대상의 네트워크에 장기간 액세스하는 것을 목표로 합니다. 공격은 여러 단계로 진행됩니다:

1. 정보 수집: APT 공격자는 피싱 이메일, 멀웨어 첨부 파일, 소프트웨어 취약점 등을 통해 대상 네트워크에 대한 정보를 수집합니다.
2. 침입 지점: 공격자는 피싱 이메일 또는 소프트웨어 취약점 악용과 같은 기술을 사용하여 시스템에 악성코드를 설치할 방법을 찾습니다.
3. 명령 및 제어 서버: 공격자는 일반적으로 다른 국가에 위치한 IP 주소를 통해 멀웨어와 통신 채널을 설정합니다.
4. 측면 이동: 공격자는 소프트웨어 취약점을 악용하고 훔친 자격 증명을 사용하여 네트워크의 여러 시스템에 액세스합니다.
5. 데이터 전송: 공격자는 일반적으로 탐지를 피하기 위해 데이터를 압축 및 암호화하여 데이터를 유출하는 방식으로 데이터를 훔칩니다.
6. 은폐: 공격자는 파일을 삭제하거나 로깅을 비활성화하거나 다른 수단을 사용하여 공격 흔적을 숨기고 공격을 탐지하기 어렵게 만듭니다.

지능형 위협에 대해 적절한 보안을 실행하는 방법

조직이 해킹을 당할 수 있다는 사실을 받아들여야 하는 보안의 전환점에 도달했습니다. 또한 네트워크에 연결되어 인터넷에 노출된 모든 중요 시스템은 이미 해킹을 당했다고 봐도 무방합니다.

어떤 조직도 해킹 위협으로부터 자유롭다는 보장은 없습니다. 조직은 해킹을 당하지 않기를 바라지만 만일을 대비해 탐지 예방 조치를 마련하는 것이 좋습니다. 그리고 침해가 발생하면 가능한 한 빨리 탐지할 수 있어야 합니다.

문제를 신속하게 찾아내어 다시는 이런 일이 발생하지 않도록 하는 것이 중요합니다.

우리의 최우선 과제는 회사가 계속 운영되도록 하는 것이며, 이를 위한 가장 좋은 방법은 데이터 유출을 조기에 감지하고 신속하게 대응하여 피해를 최소화하는 것입니다. 안타깝게도 최근의 사건들은 기업들이 이러한 침해 사고를 예방하기 위해 더 많은 노력이 필요하다는 것을 보여줍니다.

위험에 대한 이해

기업도 일상 생활에서와 마찬가지로 보안에 대해 동일한 수준의 주의를 기울여야 합니다. 다른 사람이 이미 한 입 먹은 캔디바를 바닥에 떨어진 채로 먹겠습니까? 당연히 안 먹겠죠! 마찬가지로 기업도 어떤 일이 일어날지, 어떻게 끝날지 모르는 상황에서 불필요한 위험을 감수해서는 안 됩니다.

안타깝게도 사이버 보안과 관련해서는 이러한 상식적인 개념이 아직 제대로 정착되지 않았습니다. 바닥에 떨어진 USB 스틱을 주워서 사용하는 것은 바닥에 떨어진 음식을 먹는 것만큼이나 위험합니다. 하지만 대부분의 사람들은 어린 시절부터 후자의 행동을 하지 말라는 교육을 받지 못했습니다. 따라서 디지털 세상의 위험성에 대해 교육하는 것은 필수적입니다.

조직의 취약점에 집중

저희는 당연히 악용되어 심각한 영향을 미칠 가능성이 가장 높은 위협에 집중합니다. 100개의 사소한 취약점보다 10개의 주요 취약점을 수정하는 것이 더 쉽습니다. 많은 조직이 이러한 실수를 범하여 많은 위험을 동시에 줄이기보다는 한 번에 하나의 취약점을 개선하는 데 집중합니다.

이러한 근시안적인 시각은 보안에 대한 잘못된 인식을 심어주며, 실제로는 미미한 개선만 이루어지고 있는데도 CISO가 업무를 제대로 수행하고 있다는 인상을 심어줍니다.

또한 조직의 보안이 침해되면 CISO의 업무만 위태로워지는 것이 아닙니다. 회사의 평판 전체가 위태로워집니다. 따라서 조직의 모든 구성원이 최신 보안 위협에 대한 최신 정보를 알고 있어야 합니다.

마지막으로, 사이버 보안 보험에 가입한 회사라도 더 많은 보험이 필요합니다. 평균 데이터 유출 비용은 $386만 달러이며, 이는 평균치일 뿐입니다! 회사의 규모와 도난당한 데이터의 유형에 따라 총 비용은 훨씬 더 높을 수 있습니다.

사이버 보안 보험은 총 비용의 일부만 보상하며 회사의 보안 태세를 개선하는 데 기여하지 못합니다. 따라서 보험에 가입했더라도 애초에 보안 침해가 발생하지 않도록 최선을 다하는 것이 가장 좋습니다.

공격 표면 감소

APT 위협을 방지하는 데 있어 중요한 영역 중 하나는 공격 표면을 줄이거나 사용하지 않는 불필요한 구성 요소를 제거하는 것입니다. 합리적인 강화 절차와 견고한 구성 관리가 성공의 열쇠입니다.

개방형 포트와 스크립트는 조직을 보안 침해에 취약하게 만들 수 있습니다. 이러한 서비스가 해킹당하면 재앙적인 결과를 초래할 수 있습니다. 그러나 조직이 합법적인 목적이 아닌 용도로 서비스를 사용하고 있고 해당 서비스가 손상된 경우, 사용자는 우려할 권리가 있습니다.

많은 성공적인 APT 공격은 활성화된 기능을 활용했지만 실제 목적으로 사용되지는 않았습니다.

조직은 소프트웨어, 애플리케이션, 시스템 기능의 수를 줄임으로써 보안을 강화할 수 있습니다. 기능이 적다는 것은 공격자가 침입할 수 있는 기회가 줄어든다는 것을 의미합니다.

HTML이 포함된 이메일 콘텐츠 주의하기

이메일에 HTML 임베드 콘텐츠를 사용하는 조직은 APT의 스피어 피싱 공격에 더 취약합니다. 이메일의 HTML 기능을 사용하여 색상과 배경을 바꾸거나 콘텐츠를 삽입하는 사람들도 있지만, 대부분의 기업은 일상적인 업무에 HTML을 사용하지 않습니다.

가끔 사람들이 링크가 포함된 이메일을 보내오는 경우가 있습니다. 사람들은 링크를 클릭하면 원하는 곳으로 이동할 수 있다고 생각하고 클릭할 수 있습니다. 하지만 사이버 범죄자들은 이메일 코드에 실제 목적지를 숨기는 방법을 찾아냈습니다. 

조직에서 HTML 이메일을 끄면 많은 스피어 피싱 공격을 막을 수 있습니다.

사용자 인지도 향상

사용자가 첨부파일을 열거나 클릭해서는 안 되는 링크를 클릭하도록 유도하는 등 부정한 방법으로 네트워크에 침입하는 위험 요소가 많습니다. 세션은 사용자가 적절한 경각심을 가지고 수행할 수 있는 작업을 제한함으로써 전체 노출을 줄이는 데 큰 도움이 될 수 있습니다.

행동 순위

정교한 공격자들은 종종 표준 전술을 사용하여 보안 여부를 판단합니다. 이 방법은 그다지 신뢰할 수 있는 방법은 아니지만 수많은 공격자들이 여전히 널리 사용하고 있습니다.

공격자는 탐지되지 않기를 원하기 때문에 공격자의 행동에 주의해야 합니다. 많은 공격자들은 정상적인 트래픽처럼 보이려고 합니다. 보안팀의 눈에 띄지 않고 통과하기 위해서입니다. 하지만 일단 내부로 들어가면 공격자의 진짜 의도가 드러납니다. 따라서 특정 유형의 행동을 주의 깊게 살펴보고 일반 사용자처럼 보이는지 아니면 악의적인 동기를 가진 사람인지 파악해야 합니다.

샌드박싱 환경 만들기

샌드박스는 사용자가 시스템의 나머지 부분에 영향을 주지 않고 프로그램을 실행하거나 파일을 실행할 수 있는 격리된 테스트 환경입니다.

일반적인 비즈니스 환경에는 다양한 애플리케이션과 데이터에 액세스해야 하는 많은 사용자가 있습니다. 하지만 모든 사용자가 모든 애플리케이션과 데이터에 액세스해야 하는 것은 아닙니다. 대부분의 사용자는 일부 애플리케이션과 데이터에만 액세스하면 됩니다.

샌드박스 환경을 구축함으로써 기업은 사용자가 액세스할 수 있는 데이터 및 애플리케이션의 양을 제한할 수 있습니다. 샌드박스는 데이터 유출 가능성을 최소화하고 유출이 발생하더라도 그 영향을 줄일 수 있습니다.

또한 샌드박스는 멀웨어 확산을 방지하는 데도 도움이 될 수 있습니다. 사용자가 멀웨어가 포함된 파일을 열면 멀웨어는 샌드박스에서 격리되어 나머지 시스템을 감염시킬 수 없습니다.

최소 권한 구현

최소 권한은 사용자에게 업무 수행에 필요한 최소 수준의 액세스 권한만 부여해야 한다는 보안 원칙입니다.

예를 들어, 데이터베이스에서 데이터를 읽는 경우에만 사용자에게 편집 액세스 권한을 부여해야 합니다. 사용자를 필요한 최소한의 액세스 수준으로 제한함으로써 기업은 데이터 유출 가능성을 줄일 수 있습니다.

또한 기업은 애플리케이션에 최소한의 권한을 구현하는 것도 고려해야 합니다. 애플리케이션이 데이터베이스에서 데이터를 읽기만 하면 되는 경우에는 쓰기 권한을 부여해서는 안 됩니다. 애플리케이션을 필요한 최소한의 액세스 수준으로 제한함으로써 기업은 데이터 유출 가능성을 더욱 줄일 수 있습니다.

네트워크의 아웃바운드 트래픽 보호

아웃바운드 트래픽에는 네트워크에서 도난당한 데이터가 포함될 가능성이 더 높으므로 이를 모니터링하는 것이 더욱 중요합니다. 아웃바운드 트래픽을 살펴봄으로써 비정상적인 활동을 식별하고 회사가 피해를 입지 않도록 조치를 취할 수 있습니다.

위반 행위의 작동 방식 이해

APT 공격으로부터 조직을 보호하려면 공격의 작동 방식을 이해해야 합니다. 또한 최신 공격 방법에 대한 최신 정보를 파악하여 방어에 대비해야 합니다.

엔드포인트 제어

공격자는 엔드포인트를 사용하여 네트워크에 침입할 수 있지만, 보통 데이터를 훔치는 것이 주된 목표입니다. 데이터를 보호하고 공격의 영향을 최소화하려면 어떻게 해야 할까요? 엔드포인트 보안 및 모니터링에 집중하세요.

조직은 다양한 기술을 사용하여 엔드포인트를 제어할 수 있습니다. 표준 방법 중 하나는 모든 사용자에게 2단계 인증(TFA)을 요구하는 것입니다. TFA는 권한이 있는 사용자만 데이터에 액세스할 수 있도록 합니다.

또 다른 방법은 애플리케이션 화이트리스트를 사용하는 것입니다. 이 기술은 승인된 애플리케이션만 엔드포인트에서 실행할 수 있도록 허용합니다. 실행이 허용되는 애플리케이션을 제어함으로써 공격의 위험을 줄일 수 있습니다.

모니터링 도구를 사용하여 엔드포인트를 제어할 수도 있습니다. 이러한 도구는 의심스러운 활동을 감지하고 대응하는 데 도움이 될 수 있습니다.

데이터 분류 시스템 구현

APT로부터 회사를 보호하려면 적절한 데이터 분류 절차가 있어야 합니다. 데이터 분류 체계 는 어떤 정보가 보호가 필요할 만큼 민감한지 파악하는 것을 의미합니다. APT의 문제 중 하나는 조직에서 데이터를 지속적으로 훔치려고 시도한다는 것입니다. 하지만 적절한 데이터 분류 절차를 마련하면 이러한 공격으로부터 자신을 방어하는 데 도움이 됩니다.

데이터를 저장하는 가장 좋은 방법은 인터넷 기반 스토리지 네트워크에 데이터를 저장하는 것입니다. 이 저장 네트워크는 매우 안전하며 데이터를 안전하게 보관하는 데 도움이 됩니다. 또한 중요한 데이터가 손상되지 않도록 필요한 정보만 회사 밖으로 나가도록 허용하는 것이 중요합니다.

공개 파일과 기밀 파일 두 개가 있는 경우, 사람들이 기밀 파일임을 모를 수 있기 때문에 기밀 파일이 더 큰 위험에 노출될 수 있습니다. 이제 조직은 디지털 권한 관리(DRM)와 긴밀하게 연결된 데이터 손실 방지(DLP) 솔루션으로 정보의 흐름을 규제하고 관리할 수 있습니다.

적절한 데이터 분류 절차에는 여러 단계가 있습니다:

1. 관리자를 결정합니다.

2. 데이터 유형 지정

3. 데이터 분류하기

4. 보안 제어 설정

5. 직원에게 절차에 대한 교육 실시

6. 절차 모니터링 및 검토

3. 데이터의 가치 결정

4. 데이터 분류

5. 정책 만들기

6. 직원 교육

7. 정책 시행

8. 규정 준수 모니터링

데이터 분류 절차는 모든 보안 계획의 필수적인 부분입니다. 분류 절차를 구현하면 APT로부터 회사를 보호하는 데 도움이 될 수 있습니다.

사이버 보안은 매우 중요합니다. 조직은 계속 해킹을 당할 것이지만 우리는 여전히 싸우고 있습니다. 

모든 공격을 항상 막을 수는 없지만, 대비하고 부지런히 움직이면 해커의 피해를 줄일 수 있습니다.