스피어피싱 대응을 위한 행위기반 판별에 대한 연구 - 공격 과정 -

스피어 피싱 대응을 위한 행위기반 판별에 대한 연구 

1.2 공격 과정

   정보보안 시스템은 관리적, 기술적으로 수평이 아닌 계층적 구조로 구축되어야 한다. 각 계층은 APT 사이버 공격의 단계별 공격을 적절하게 차단할 수 있도록 구축되어야 하며 구축된 보안 시스템은 APT 사이버 공격뿐만 아니라 TCP/IP 취약성 공격, 애플리케이션 프로토콜 취약성 공격, 웹 취약성 공격, 서버의 취약성 공격, 내부자에 의한 정보유출, 기술적인 실수 등에도 유연하게 대응할 수 있도록 구축되어야 한다. 이렇듯 매우 다양한 방식으로 APT 사이버 공격을 시도하므로 특별한 공격 패턴이 있다고 단정 지을 수 없다. 하지만 공격자가 자주 사용하는 과정은 다음과 같다.

1. 단계 목표

2. 단계 침투

3. 단계 탐색

4. 단계 수집

5. 단계 유출

6. 단계 기타행위(시스템 파괴, 좀비PC 등)

1. 단계 목표

   기업을 노리는 APT 사이버 공격은 웹이나 이메일 등 임직원들이 흔히 사용하는 다양한 애플리케이션을 통해 악성코드 또는 악성 파일을 유입시키는 더욱 교묘한 형태로 변하고 있다. 방송사와 은행권을 겨냥한 사이버 공격이었던 ‘3.20 사이버 테러’도 바로 APT 사이버 공격의 대표적인 예라고 할 수 있다. APT 사이버 공격은 공격자가 악성코드로 직원의 PC를 장악하면 내부에서 최장 1년여에 걸쳐 사내 내부망에 숨어다니면서 취약점과 관리자 권한을 찾아 돌아다닌 사례가 있을 정도로 지능적이고 지속적인 공격이다. APT 사이버 공격은 특정한 목적을 가지고 오랫동안 공을 들여 특정 기업이나 조직의 기밀정보를 해킹하는 것이 특징이다. 공격자는 공격의 성공률을 높이기 위해 첨단 보안 탐지 기법을 회피하고 익스플로잇 취약점과 루트킷 기법 그리고 사람의 심리를 이용한 사회공학적 해킹 등을 복합해 공격한다. 실제로 공격자는 사전 조사 단계에서 취약한 사람의 심리를 공략하여 표적으로 삼은 기업의 공격 대상자를 치밀하게 조사하고 약점이나 흥미 있어 할만한 자료를 탐색한다. 또한, 목표에 직접 접근이 어려우면 우회하여 담당자 주변 인물이나 협력 관계에 있는 중소기업을 통해 접근하는 방법을 사용한다. 회사 웹 사이트, 콘퍼런스 참여 정보, 행사 정보를 통해 임직원의 이름과 연락처를 수집하고 소셜네트워크서비스(SNS), 블로그, 인터넷 쇼핑몰 등에서 표적으로 삼은 시스템과 내부직원과 협력업체 직원에 접근할 수 있는 직원을 찾아내 믿을만한 지인이나 회사 등으로 가장하는 사회공학적 공격을 감행한다. 

2. 단계 침투

   일반적으로 공격자가 목표 시스템에 침입하기 위해 네트워크 환경 정보 수집은 필수이다. 침투 단계는 익스플로잇 취약점, 사회공학기법, SQL Inject과 같은 방법을 활용해 해당 시스템의 네트워크에 침투하는 것을 의미한다. APT 사이버 공격을 감행하는 공격자와 침투를 차단하기 위한 방어자 입장 모두에서 침투 간계의 공격과 방어가 가장 어려운 부분이다. 대부분 물리적으로 격리된 공격 목표에 침투하기 위해서 공격자는 다음과 같은 기법을 사용하는 것으로 알려져 있다.

•내부 사용자 이메일 주소 수집, 내부자 이메일로 위장하여 악성코드가 첨부된 이메일을 발송하여 실행 유도

•타 웹 사이트를 해킹하여 악성코드를 심어 둔 뒤 악성코드가 공격 대상 시스템을 사용하는 관리자 PC 감염 유도

•공격 대상 기관 입구 및 인근에 USB 및 SD 카드 등 저장 매체를 흘려둔 뒤 내부 사용자가 습득하여 반입시킨 후, 내부 PC에 접속하여 자동실행 되도록 유도

•사회공학적 기법을 이용해 내부 사용자의 PC가 악성코드에 감염되도록 유도

위의 침투기법은 많이 알려진 기법들일 뿐 전부는 아니다. 또한, 침투 기법은 ‘내부망 탐색과 침투 거점 마련’이라는 단순하고 명확한 목표를 실현하기 위해 활용 가능한 모든 사회 공학적, 기술적 방법을 동원하기 때문에 예측 및 탐지ㆍ차단이 어려운 것이 현실이다.

3. 단계 탐색

   침투에 성공한 공격자는 장기간에 걸쳐 시스템 사용자가 알아차리지 못하게 활동하면서 조직의 시스템을 분석한다. 공격자가 주로 탐색하는 대상은 신원정보나 네트워크상의 또 다른 취약한 시스템, 소프트웨어나 하드웨어 또는 노출된 기밀문서와 같은 자료이다. 침투 단계의 공격이 성공하여 내부의 PC 혹은 서버에 악성코드가 감염되면 악성코드는 그 역할에 따라 다양한 작업을 수행한다. 공격자의 입장에서 가장 중요한 작업은 감염시킨 악성코드를 자신의 의도대로 실시간 원격 조종이 가능하게 하는 것이다. 악성코드가 미리 정해진 IP로 아웃바운드(Outbound) 통신이 가능하다면 공격자는 이후 감염시킨 악성코드를 통해 다양한 공격 도구를 해당 컴퓨터에 전송ㆍ설치하여 탐색 단계로 진입한다. 탐색 단계에서 사용되는 악의적인 행위는 아래 [표 3]과 같다.

[표 3] 해킹행위

구 분	내 용
스케줄러, 레지스트리	24개 스케줄러 생성, 1시간 간격으로 매일 자동실행 설정
안티바이러스 강제종료	안티바이러스 프로그램 강제 종료
Guest 계정 관리자 등록	윈도우 Guest 계정을 관리자 그룹으로 활성
원격제어	원격으로 화면 및 키보드, 마우스를 원격지에서 제어
음성정보 녹음	마이크를 통해 음성정보를 기록해 공격자에게 전송
키보드 이벤트 저장	키보드 이벤트를 기록하여 공격자에게 전송
웹캠제어	웹캠이 설치된 경우 작동시켜 카메라 화면 캡쳐
DDoS 공격	URL 정보를 TCP, UDP, ICMP 등을 활용한 업무방해
악성코드 다운로드	추가적으로 해킹에 필요한 악성코드 다운로드
모뎀정보 유출	모뎀 설정파일에 접근하여 전화번호 및 사용자 정보 유출
웹캠제어	웹캠이 설치된 경우 작동시켜 카메라 화면 캡쳐

공격자는 위의 기법을 사용해 자신의 공격목표로 선정한 서버에 해당 컴퓨터의 사용자가 사용하기를 기다리거나 다양한 방법으로 서버나 데이터베이스 또는 관리 프로그램을 사용하는지 꾸준히 관찰한다.

4. 단계 수집

   탐색 단계에서 드러난 보안에 취약한 시스템과 데이터는 공격자에게 노출 되면 노출되는 즉시 시스템과 데이터에 접근한다. 이후 시스템 내의 데이터와 주요 명령어를 수집하고 목표 시스템이나 네트워크 액세스 포인트에서 탐지되지 않는 루트킷(Rootkit)을 은밀히 설치한다. 그리고 내부 시스템에서 수집한 명령어와 데이터를 암호화한다. 특히, RAT(Remote Administration Tool)는 ‘C:\Documents and Settings\All Users\winsvcf.dll’에 파일을 설치하고 자기 자신을 삭제하며 레지스트리 값을 변조하여 ‘svchost.exe’ 파일에 의해 실행되도록 한다. RAT의 악의적인 행위는 다음과 같다.

•레지스트리 값 수정

•로그인 화면 잠금

•프로세스와 서비스 제어

•파일 다운로드

•파일 생성

•화면 캡처

•시스템 강제종료

•사용자 데이터 접근 (odbc32.dll)

•SQL 관련 함수 수행

공격자는 공격 방법이 분석되지 않도록 다양한 방법을 사용한다. 그리고 해당 악성코드가 실행되지 않을 때는 메모리에서 코드를 난독화된 상태로 존재하다가 활동할 때에만 복호화 실행한다.

5. 단계 유출

   공격자가 사용자의 시스템에 침입하여 수집한 정보는 C&C 서버(Communication & Command) Server를 사용하여 공격자의 근거지로 전송한다. 공격자는 해당 데이터를 분석하고 이를 또 다른 익스플로잇이나 범죄활동에 악용한다. 데이터 전송은 웹 메일과 같은 일반적인 데이터 전송 방식과 암호화된 패킷이나 암호로 보호되는 압축 파일의 형태로 전송한다.