APT 공격

APT 공격이란?

APT(Advanced Persistent Threat) 공격은 "지능형 지속 공격"이라고 부르며, 특정 기업이나 조직을 표적으로 삼아 장기간 동안 은밀하고 집요하게 진행되는 사이버 공격이다.

목표는 시스템을 단순히 파괴하는 것이 아니라, 내부 중요 정보를 오랜 시간에 걸쳐 탐색하고 탈취하는 데 있다.

APT 공격은 초기 침투 후에도 지속적으로 내부망을 탐색하며, 권한을 상승시키고, 목표 데이터를 외부로 빼내는 과정을 반복한다. 이 때문에 일반적인 방화벽이나 바이러스 백신으로는 대응이 어렵다.

APT 공격의 주요 형태

APT 공격은 다양한 방법을 조합하여 이루어진다. 주요 방식은 다음과 같다

• 스피어 피싱(Spear Phishing): 특정 인물이나 조직을 겨냥한 정밀 피싱 메일 발송
• 제로데이 공격: 보안 패치가 되지 않은 소프트웨어의 취약점을 이용한 침투
• 사회공학 기법(Social Engineering): 인간 심리를 이용해 접근 권한이나 정보를 탈취
• 백도어 설치: 최초 침입 후, 시스템 내부에 비밀 경로를 만들어 지속적 접근을 유지

이외에도 내부자 매수, 악성코드 배포, 인증 정보 탈취 등이 복합적으로 사용된다.

APT 공격 단계

APT 공격은 단발성 공격이 아니다. 일반적으로 다음과 같은 단계로 이루어진다.

1. 정찰 (Reconnaissance)
   타겟 조직에 대한 정보를 수집한다. 조직 구조, 사용 소프트웨어, 주요 인물 정보 등을 파악한다.
2. 초기 침투 (Initial Compromise)
   스피어 피싱 메일, 웹사이트 악성코드 삽입 등을 통해 목표 시스템에 초기 접근을 시도한다.
3. 지속적 침투 유지 (Establish Foothold)
   백도어를 설치하거나 악성 툴을 심어 시스템 접근 권한을 지속적으로 유지한다.
4. 내부 확장 (Lateral Movement)
   내부망으로 이동하면서 권한을 확장하고 추가 시스템을 장악한다.
5. 정보 수집 및 탈취 (Data Exfiltration)
   목표 데이터를 찾고, 이를 외부로 전송하거나 복사한다.
6. 작전 종료 및 은폐 (Cleanup and Cover Tracks)
   로그를 삭제하거나 흔적을 지워 공격을 은폐한다. 경우에 따라 재침입 가능성을 위해 일부 백도어를 남긴다.

APT 공격자는 이 과정을 수개월 또는 수년 동안 반복하기도 한다.

APT 공격 예방 방법

APT 공격을 막기 위해서는 다음과 같은 조치가 필요하다.

• 소프트웨어 업데이트: 최신 보안 패치 적용
• 다단계 인증(MFA): 계정 도용 방지
• 민감정보 관리 강화: 접근 권한 최소화, 데이터 암호화
• 의심스러운 이메일 및 링크 차단: 스피어 피싱 예방
• 행위 기반 탐지 시스템 구축: 비정상적 내부 움직임 모니터링
• 정기적인 백업 체계: 랜섬웨어 대비

단일 방어체계로는 대응이 불가능하며, 다중 보안 시스템과 조직 차원의 대응 체계가 필수적이다.