첨단 지속 위협(Advanced Pertant Threat)은 최근 정보보안 업계의 화두다. 지난 2년간 RSA 컨퍼런스에서 APT는 가장 주목받는 키워드 중 하나였다.
표적화되고 조직화된 공격 방법인 APT의 과정은 일반적인 공격 행위와 크게 다르지 않습니다. 그러나 구체적인 공격 단계에서는 APT가 다음과 같은 특징을 구현하고 있어 파괴력이 더욱 강력합니다. 의 코드 샘플을 사용하여 기능을 추출하고 고유한 지연이 있는 기능을 기반으로 공격을 식별할 수 있습니다.
(2) 강력한 단일 지점 은폐 기능: APT는 기존 탐지 장비를 피하기 위해 동적 동작과 정적 파일을 은폐하는 데 더 많은 주의를 기울입니다. 예를 들어, 네트워크 동작 탐지를 피하기 위해 비밀 채널과 암호화된 채널을 사용하거나 악성 코드 파일 자체의 식별을 피하기 위해 합법적인 서명을 위조하는 방식이 사용됩니다. 이는 기존 서명 기반 탐지에 큰 어려움을 가져옵니다.
(3) 다양해진 공격 채널: 지금까지 노출된 잘 알려진 APT 사건 중 소셜 공격, 제로데이 취약점 공격, 물리적 페리링 등의 방법이 끝없이 등장하고 있습니다. 경계 방어에만 집중합니다. 일단 시스템 경계를 우회하면 후속 공격 단계의 난이도가 크게 줄어듭니다.
(4) 긴 공격 기간: APT 공격은 초기 정보 수집부터 정보 탈취, 외부 전송까지 여러 단계로 나누어지며, 수개월 이상 소요되는 경우가 많습니다. 기존의 탐지 방식은 단일 시점의 실시간 탐지를 기반으로 하기 때문에 장기간에 걸친 공격을 효과적으로 추적하기가 어렵습니다.