문제
Advanced Persistent Threat(APT) 공격의 단계별 공격 과정을 설명하고, 각 단계에서 효과적인 탐지 및 대응 방안을 단계별로 서술하시오.
정답
APT 공격은 장기간에 걸쳐 지속적이고 은밀하게 수행되는 고도화된 사이버 공격으로, 단계별 과정은 다음과 같다. 1) 정찰(Reconnaissance): 표적 조직의 정보 수집 단계로 OSINT 활용 및 소셜 엔지니어링 수행 → 대응: 정보 노출 최소화, 직원 보안 교육 2) 초기 침입(Initial Intrusion): 스피어 피싱, 제로데이 취약점 등을 통한 시스템 침투 → 대응: 이메일 보안 게이트웨이, 엔드포인트 탐지 및 대응(EDR) 3) 거점 확보(Establishment): 백도어 설치 및 은닉 → 대응: 행위 기반 탐지, 네트워크 모니터링 4) 권한 상승(Privilege Escalation): 관리자 권한 획득 → 대응: 권한 관리 강화, PAM 솔루션 5) 내부 정찰(Internal Reconnaissance): 내부 네트워크 탐색 → 대응: 네트워크 세분화, 이상 트래픽 탐지 6) 측면 이동(Lateral Movement): 핵심 자산으로 이동 → 대응: 마이크로 세그멘테이션, 제로 트러스트 7) 목표 달성(Mission Completion): 데이터 탈취 또는 파괴 → 대응: 데이터 암호화, DLP 솔루션
해설
APT는 Kill Chain 모델을 따라 7단계로 진행되며, 각 단계의 특성을 이해해야 적절한 방어 전략을 수립할 수 있다. 정찰 단계에서는 정보 노출을 최소화하고, 침입 단계에서는 EDR과 같은 탐지 솔루션이 필요하다. 거점 확보 후에는 행위 기반 탐지가 중요하며, 측면 이동을 막기 위해서는 네트워크 세분화와 제로 트러스트 원칙이 핵심이다.