Cyber Attack

사이버 공격?

- 컴퓨터 네트워크 상에서 악의적인 목적을 가진 공격자가 습득한 정보를 기반으로 다양한 공격 수단과 공격 기법으로 시스템이나 데이터 자산을 파괴하는 행위

- 컴퓨터 네트워크 및 공격 대상 시스템에 허가되지 않은 접근을 하거나, 웹 게시판이나 메일을 통해 유포한 악성 파일로 공격 대상 시스템의 정상 동작을 방해하거나 데이터를 탈취, 변조, 파괴하는 행위

 

사이버 공격의 목적

- 금전적 이익: 랜섬웨어를 이용한 금전 요구, 암호화폐/금융 정보 탈취

- 국가 안보 위협: 정부기관 및 군사시설 공격

- 정치적/이념적 목적: 정치적 메시지 전달 또는 이념 표출

- 복합적 목적을 위해 다양한 방법으로 공격

 

 

Hacker란?

- 시스템, 네트워크 지식 등을 바탕으로 이를 활용, 연구활동을 진행하는 사람.. 원래는 그냥 전문가인데

- 부정적인 이미지로 사용됨

 

White Hat Hacker

- 정보보안 전문가

- 보안 취약점 발견 및 개선 활동

- 사전에 허락을 얻고 시스템 보안 강화에 기여

 

Gray Hat Hacker

- White/Black의 중간적 성격

- 하락없이 공격 & 취약점 신고

- 법적 경계선에서 활동

 

Black Hat Hacker

- 악의적인 목적으로 공격 수행

- 개인의 이익을 위한 활동

- 악성코드 유포 및 시스템 칩입

 

 

사이버 공격 증가 이유

디지털 의존도 증가

    - 디지털 전환 가속화 및 개인 온라인 활동 증가

    - 클라우드 환경 확대 및 IoT 기기 확대

기술 복잡도 증가

    - 신기술 도입과 이로 인한 시스템 복잡도 증가 및 보안 취약점 증가

획득할 수 있는 경제적 이익 증가

    - 암호화폐 활성화(익명 금전 거래 가능)

    - 개인 및 기업 정보에 대한 암거래 증가

기술 접근성 향상

    - 다크웹을 통한 해킹 툴, 악성 코드 대중화

    - AI를 이용한 접근성 향상

국가 간 사이버전 증가

    - 국가 지원 해킹 그룹, 정치적 목적의 공격 증가

보안 인식 부족

    - 상대적으로 서비스 및 기능에 대한 중점적 투자, 보안에 대한 무관심

---

 

CKC (Cyber Kill Chain)

- Lockheed Martin이 개발한 사이버 공격 과정을 설명한 프레임워크

- 정찰/무기화/전달/악용/설치/명령 및 제어/목적 달성

- 각 단계에서 적절한 보안 통제 -> 공격 체인을 끊어 공격 무력화

- Phase 1. Preparation: 정찰, 무기화

- Phase 2. Intrusion: 전달, 악용, 설치

- Phase 3. Breach: C2, 목적 달성

 

정찰(Reconnaissance)

- 공격 대상 정보 수집

- 도메인 및 네트워크 환경 정보 수집(nmap, Netcat)

- 사용 중인 운영체제 및 오픈소스 버전 정보 수집 및 취약점 확인

- 소셜 미디어 분석

- 채용 공고 분석, 개발자 기술 블로그, 컨퍼런스 발표자료 -> 기술 스택 파악

-> 정보노출 최소화

-> Honeypot 구성 (유사한 시스템을 하나 더 만들어서 그 쪽으로 공격이 들어오게 하고 공격 패턴 분석)

-> 방화벽 등 네트워크 보안 장비 운영

 

무기화(Weaponization)

- 정찰 단계 수집 정보 기반, 공격 도구 및 악성코드 준비

- 소프트웨어 취약점을 이용한 공격 코드 개발

- 악성 문서, 피싱 이메일 템플릿, 공격 웹사이트

-> 지속적인 취약점 관리

-> 보안 인식 교육

 

전달(Delivery)

- 무기화된 악성코드, 공격도구를 공격 대상에게 전달

- 이메일 기반: 첨부파일 형태

- 웹 기반: 자주 방문하는 웹사이트 해킹, 악성코드 삽입

- 물리적 매체 기반: 악성코드 심은 USB, 외장하드, 네트워크 장비 등

- 업데이트 이용: 소프트웨어, 컨텐츠 업데이트 서버를 해킹 후 악성코드 삽입

-> 보안 솔루션 운영: 이메일 보안 솔루션, 샌드박스 기반 보안 솔루션, EP 보안 솔루션

-> 네트워크 세그멘테이션: 중요 시스템을 분리하여 악성코드 전달을 제한 

 

악용(Exploitation)

- 전달된 공격 도구 및 악성코드 실행 -> 시스템의 취약점을 공격

- 소프트웨어 취약점 공격: 버퍼 오버플로우, 입력값 검증 오류 취약점 (SQL Injection, XSS ~)

- 사회공학적 공격: 사용자 실행 유도

- 보안 프로그램 우회 시도: DLL 인젝션 등

- 네트워크 기반 공격: 프로토콜 및 서비스 취약점

-> 소프트웨어 패치 관리

-> 침입 방지 시스템(IPS) 운영

 

설치(Installation)

- 공격 도구 및 악성코드를 설치, 은닉하는 단계

- 지속성 확보: 윈도우 레지스트리 변경, 시작프로그램, 예약작업, 스케줄러 등록

- 은닉 기법 활용: 정상 프로그램 위장(시스템 프로그램과 유사한 이름으로 등록)

- 권한 확보: 계정 생성 및 변경

- 백도어 설치, 보안 프로그램 무력화(우회)
-> 파일 무결성 모니터링, 어플리케이션 제어

-> EDR 운영

-> 호스트 기반 침입탐지 시스템(HIDS) 운영

 

명령 및 제어(C2, Command and Control)

- 공격자가 시스템과 연결 채널을 형성, 제어

- 다양한 백업 통신 채널 생성

- 정상 트래픽으로 위장하여 제어

- 원격 관리 기능 활성화를 통한 제어

- 제어 서버 설치 및 활용

-> 네트워크 트래픽 분석(모니터링) 및 필터링(프록시)

-> 방화벽 규칙 강화

 

목적 달성(Actions on Objective)

- 공격자가 최종 목표를 달성하기 위한 활동 단계

- 데이터 탈취, 시스템 파괴, 감시 활성화, 증거 인멸

-> DLP 솔루션 운영

-> 파일 암호화

-> 백업 시스템