스피어 피싱 대응을 위한 행위기반 판별에 대한 연구
Ⅰ. 서론
최근 APT 사이버 공격(Advanced Persistent Threat)은 더욱 지능적이고 다양화되고 있다. 또한, 악성코드 자동화 제작 도구로 인해 대량으로 생산되어 국가와 산업에 막대한 손실을 입히고 있다. APT 사이버 공격은 다양하고 복합적인 방법으로 공격한다. 그중 공격자가 선호하는 공격 방법은 이메일을 활용한 스피어피싱이다. 스피어피싱은 조직의 정보보안 방어 연결 고리 중 가장 약한 사람을 선정하여 공격하기에 방어하기 가장 어려운 공격이다. 하루 평균 100만 건 이상의 신ㆍ변종 악성코드가 발생하고 있으며 공격 대상자의 50% 이상이 스피어피싱 이메일에 삽입된 첨부파일을 클릭하여 사고가 발생하는 것으로 알려져 있다. 또한, 많은 양의 스팸 메일보다 스피어피싱 이메일을 클릭할 확률이 10배 이상 높아 매우 심각하다.
본 연구는 APT 사이버 공격에 가장 많이 사용되고 있는 스피어피싱 메일을 가상환경을 활용해 사전에 분석ㆍ탐지하여 기업의 정보 유출을 방지하고 업무의 기밀성을 높이는 것이 연구의 목적이다. 공격자는 스피어피싱으로 사용자를 다양한 방법으로 속이기 위해 급여명세서나 이력서, 경찰서의 자동차 벌금 통지서, 이동통신사의 요금고지서 등의 이메일을 가장해 악성코드를 삽입한 첨부파일을 특정 기업과 기관의 임직원에게 발송하여 접근한다. 첨부파일을 실행한 악성코드는 사용자의 PC 환경을 탐색하고 운영체제 버전과 패치, 소프트웨어, 네트워크 구성을 조사해 공격자에게 전송한다. 공격자는 조사한 정보를 바탕으로 소프트웨어의 알려지지 않은 취약점을 악용하여 기업을 해킹한다. 이러한 해킹은 소프트웨어 제조사가 개선된 파일을 배포하여 패치(Path) 하기 전에는 사실상 방어하기 어렵다. 조직의 구성과 직무, 직책, 담당 업무를 분석하여 원하는 정보를 담당하는 담당자 누구인지 선별하여 최종 목표로 정한다. 정보를 취득하지 못할 경우 해당 정보를 득할 때까지 오랜 기간 잠복하고 해당 기업을 관찰한다. 이러한 행위의 출발점이 바로 스피어피싱에서 부터 출발하는 것이다. 해킹은 네트워크에 연결되어 있어야만 가능하고 사용자의 PC를 통해 이루어져야 한다는 공통점이 있다. 프로그래밍이 아닌 운영체제와 네트워크의 행위를 구분하여 분석한다면 사전에 탐지하여 차단할 수 있다는 것이 본 연구의 본론이다.
'Information Technology > Spear phishing' 카테고리의 다른 글
스피어피싱 대응을 위한 행위기반 판별에 대한 연구 - 익스플로잇 (제로데이 공격) - (0) | 2017.11.17 |
---|---|
스피어피싱 대응을 위한 행위기반 판별에 대한 연구 - 악성코드 감염 증상 - (0) | 2017.11.17 |
스피어피싱 대응을 위한 행위기반 판별에 대한 연구 - 악성코드 감염 경로 - (0) | 2017.11.17 |
스피어피싱 대응을 위한 행위기반 판별에 대한 연구 - 공격 과정 - (0) | 2017.11.16 |
스피어피싱 대응을 위한 행위기반 판별에 대한 연구 - 본론 - (0) | 2017.11.16 |
댓글