정보보호 솔루션 제품 개요 기초(APT)

APT 솔루션 등장 배경

- 현재 사용되고 있는 백신 네트워크 보안 솔루션들은 패턴과 시그니처를 기반으로 하고 있는 경우가 많은데 APT 공격은 이러한 보안 솔루션들에 탐지되지 않는 고도화된 공격이다.

- 보안 솔루션이 탐지를 위한 패턴 시그니처 기반이라는 말은 이제까지 진행됐던 공격의 기록을 가지고 비슷한 패턴의 공격을 차단하는 방식으로 알려진 공격을 방어한다는 의미다.

- 이런 이유로 탐지되지 않는 고도화된 공격 즉 제로데이 공격같이 패턴이 아직 업로드 되지 않았거나 알려지지 않은 공격에는 취약할수밖에 없다.

- 그래서 등장한 제품은 APT 대응 솔루션이다.

 

APT 솔루션의 목적

- APT 솔루션은 신종 APT/악성코드 공격을 탐지/방어하는 솔루션으로 최근 발생하고 있는 랜섬웨어 자료유출사고 네트워크 마비 등 보안 사고를 미연에 방지하기 위한 정보보안 시스템이다.

- 사용자단의 행위 기반 방어 제품(EDR)과 네트워크 패킷 분석 기능을 연계로 사용하여 오탐을 최소화하고 정확한 탐지 및 대응을 하는 것이 목적이다.

 

(네트워크 기반 패킷분석 / 탐지) + (에이전트 기반 탐지 / 치료) => 이중 방어 시스템

 

APT 솔루션 - 분류

* APT 대응 솔루션은 어디서 대응하느냐에 따라서 분류할 수 있다.

- 네트워크 APT 대응 솔루션은 네트워크 영역에서 완성된 파일이나 데이터를 확인하기 어렵기 때문에 평소의 활동과 비교하거나 네트워크 접속 유형 C&C 서버와의 통신 APT감염 사이트 접속 등을 분석하는 형태로 탐지를 진행한다.

- Email APT 대응 솔루션은 APT 공격의 주요 침임로로 이메일이 활용되고 있는 점에서 착안해 이메일 보안에 특화된 기능을 제공한다. 보통 이메일 보안 솔루션 독자적으로 또는 전문 장비와 연동해 탐지율을 높이는 방법으로 이메일을 통해 내부로 유입되는 악성코드 및 유해 요소를 차단한다.

- endpoint APT 대응 솔루션은 주로 안티바이러스를 통해 운영된다. 기본적인 골조는 패턴과 시그니처 기반의 백신과 큰 차이가 없으나 APT 를 고려한 기능이 추가됐다. 그 기능으로 동적 분석 기능과 C&C서버 통신 차단 등의 기능을 대표적으로 꼽을 수 있다.

 

APT 솔루션 - APT 의미

Advanced Persistent Threat

목표로 하는 조직에 대한 공격을 위해 장기간 동안 은밀하고 지속적으로 수행하는 컴퓨터 해킹 절차를 의미한다.

- 특수한 목적을 가진 하나의 표적에 대해 다양한 기술을 이용해 지속적으로 정보를 수집하고 취약점을 파악하여 이를 바탕으로 피해를 주는 공격 기법이다.

- 공격 방법은 내부자에게 악성코드가 포함된 이메일을 오랜 기간 꾸준히 발송해 한번이라도 클릭되길 기다리는 형태나 스턱스넷(stuxnet)과 같이 악성코드가 담긴 이동식 디스크(usb)등으로 전파하는 형태 악성코드에 감염된 P2P 사이트에 접속하면 악성코드에 감염되는 형태등이다.

-  APT를 효과적으로 방어하기 위해서는 기업 내 모든 파일에 대한 가시성을 확보하고 파일을 실시간으로 행위 분석을 해야한다.