일반적으로 악성코드는 불특정 다수를 감염시키는데 사용되고 있다. 하지만 수년 전부터 일반 대중이 아닌 특정한 대상을 노린 공격(Targeted Attack), 기간망을 노린 공격 등 공격이 더욱더 세분화 및 고급화되는 경향을 보이고 있다.


표적 공격은 최근 자주 회자되고있는 APT(Advanced Persistent Attack)의 한 유형으로 일컬어지고 있으며, (필자는) 표적 공격을 APT라고 좀더 넓은 범주로 포함시키고, Trusteer의 보고서의 주요 특징을 살펴 보면 다음과 같다.


* 조사방식:  APT등에 대한 방어적 업무를 맡고 있는 약 750여개의 IT 및 보안 관련 직원.


* 주요 특징

  • IT 및 업무 장애, 기밀 데이터의 유출, IP(지적재산권) 도난 등을 목표로 하는 공격
  • APT 공격을 효과적으로 탐지할 수 없다고 밝힌 기업 51%
  • 87%의 회사는 임원이 APT 위협에 대한 인식 부재
  • APT 공격의 주요 원인은 악성코드 93%
  • 제로데이 공격이 조직의 가장 큰 위협이 된다: 68%
  • 자바, Adobe 리더 등이 가장 취약함

가장 중요한 포인트는,

  • 기존의 전통적인 보안 방식(IDS/IPS, F/W, Anti-Malware, Traffic 제어 등)으로는 APT 탐지 및 대응이 어려움
  • 하지만, 중요한 포인트는 악성코드(Malware)로, 실제 기업에서는 안티바이러스(Anti-Malware) 프로그램에 의존할 수 밖에 없음
  • 제로데이 등 보안 담당자가 해결 및 조치할 수 없는 문제점을 통한 공격
  • 하지만, 대부분 보안 패치 등, 손쉽게 해결 가능한 경우가 많지만 <- 이 또한 어려움.


http://www.net-security.org/secworld.php?id=16059


reTweet
Posted by 문스랩닷컴
blog comments powered by Disqus

    APT 탐지 장비의 한계

    APT 2013.05.25 07:31

    지난 3.20 사이버테러 이후 APT(Advanced Persistent Threat) 공격에 대한 관심이 증가하였으며, 관련 기업이나 기관에서 수요가 급격하게 증가하고 있다는 소식도 들리고 있습니다.

     

    하지만, 대부분의 기업에서는 '보안팀'을 운영하고 있지 않기 때문에, APT 장비나 솔루션을 도입할 때에 많은 검토를 거쳐야 합니다.

     

    그 중에서 가장 중요한 점은 다음과 같습니다.

    • 탐지만 가능하다 - 그렇다면 별도의 차단 장비가 필요하다는 뜻이 됩니다.
    • 분석을 해야 한다 - 그렇다면 전문가가 필요합니다.
    • 오진이 많다 - 보안 장비의 아킬레스 건은 바로 오진(False Positive)입니다. 국내외 백신의 오진 사례에서 익히 알 수 있으며, 특히 오진으로 인한 피해가 적어야 합니다.

    국내에서 인기를 구가하고 있는 F사가 해외 언론에 보도한 자료가 이를 뒷받침하는 자료로 보여지며, 간단히 요약하면 다음과 같습니다.

     

     http://threatpost.com/ie-8-zero-day-pops-up-in-targeted-attacks-against-korean-military-sites/

     

    국내 군관련 웹사이트에 IE 8 제로데이를 활용한 공격이 발생

     

    하지만, 실제로 해당 사이트에서 발생한 공격을 살펴 보면, IE 8 제로데이가 아니고, JAVA 관련 취약점을 활용한 공격임이 확인되었습니다.

     

    http://p4ssion.com/361

     

    안보 관련 연구소 대상 표적공격 (워터링 홀) 5월16일 발생

     

    바로 이러한 사례가 APT 탐지 장비에서 발생가능한 오류의 예입니다.

     

    즉, 이미 감염된 PC(좀비)에서 발생하는 행위(시스템, 네트워크)를 기반으로 추적을 하기 때문에 실제 출처를 찾기가 매우 어려운 것이 사실입니다.

     

    감사합니다.

    reTweet
    Posted by 문스랩닷컴
    blog comments powered by Disqus


      Web Analytics Blogs Directory