APT 공격 - 지능형 지속 위협
요약
APT(Advanced Persistent Threat, 지능형 지속 위협)는 특정 조직을 장기간 은밀하게 침투하는 고도화된 공격입니다. 핵심 3요소(Advanced·Persistent·Threat)와 4단계 공격 프로세스(침투·검색·수집·유출), 대표 사례와 대응 전략을 정보처리기사 실기 대비용으로 정리합니다.
APT란? 쌩기초
APT(Advanced Persistent Threat, 지능형 지속 위협)는 특정 표적 한 곳을 정해놓고 수개월 ~ 수년에 걸쳐 은밀하게 침투하는 공격입니다. 단순 침입이 아니라 제로데이·악성코드·사회공학 등 여러 공격 기법을 조합해서 사용하는 것이 특징입니다. 불특정 다수에게 대량으로 뿌리는 공격(예: 피싱·랜섬웨어 스캐닝)과 달리, APT는 처음부터 끝까지 정해진 한 조직만 노립니다.
예를 들어 방산 기업을 노린다면, 인사팀에 "채용 포트폴리오" 위장 메일을 보내 직원 한 명을 감염시킨 뒤 3개월간 조용히 내부망을 탐색해 설계 도면을 모으고, 업무시간에 맞춰 조금씩 외부로 빼내는 방식입니다.
공격 주체는 대개 국가 지원 해커 그룹 또는 고도로 조직화된 범죄 집단이며, 단일 기법이 아니라 제로데이·악성코드·사회공학·네트워크 공격을 상황에 맞게 골라 쓰는 "캠페인"1 형태입니다.
표적 공격(Targeted Attack)의 가장 대표적인 형태가 APT입니다. 표적 공격 개요에서 워터링 홀·BEC와의 관계를 먼저 보면 맥락이 선명합니다.
핵심 3요소 (A·P·T) 기초
APT라는 이름 자체가 핵심 3요소를 담고 있습니다. 세 축이 모두 맞아야 APT로 분류됩니다.
| 약자 | 의미 | 핵심 키워드 |
|---|---|---|
| Advanced | 단일 기법이 아닌 제로데이·악성코드·사회공학·네트워크 공격 등 다양한 기술을 조합 | "복합 기법", "다양한 보안 위협" |
| Persistent | 한 번에 끝내지 않고 수개월 ~ 수년간 은밀히 체류 | "지속적", "장기간" |
| Threat | 불특정 다수가 아닌 특정 표적 한 곳을 노림 | "명확한 표적", "표적 내부 직원" |
- 세 축 중 하나라도 빠지면 일반 공격 캠페인입니다. 예를 들어 불특정 다수에게 뿌리는 단일 랜섬웨어는 복합 기법(Advanced)도 없고 표적(Threat)도 없어 APT가 아닌 일반 사이버 범죄입니다.
- 24년 1회 실기 기출이 바로 이 3요소 + 4단계 프로세스를 지문으로 제시하여 APT를 맞히는 형태였습니다.
4단계 공격 프로세스 기초
APT는 일반적으로 침투 → 검색 → 수집 → 유출의 4단계로 실행되며, 각 단계마다 다른 공격 기술이 조합됩니다.
| 단계 | 이름 | 무엇을 하는가 | 자주 쓰이는 기술 | 예시 |
|---|---|---|---|---|
| 1 | 침투(Infiltration) | 표적 내부 단말·계정을 확보 | 스피어 피싱, 워터링 홀, 제로데이, 공급망 공격 | 인사팀 직원에게 입사 지원서 위장 첨부파일 메일 발송 → 1명 감염 |
| 2 | 검색(Discovery) | 내부망 구조·권한·핵심 자산 위치 파악 | 내부 스캐닝, 계정 탈취, 권한 상승 | 감염된 PC에서 파일 서버·DB 서버 IP 목록 수집, 관리자 계정 탐색 |
| 3 | 수집(Collection) | 목표 데이터를 모으고 정리 | 키로거2, 스크린 캡처, 문서 수집 도구 | 설계 도면·연구 문서를 암호화 압축 파일로 묶어 임시 폴더에 대기 |
| 4 | 유출(Exfiltration) | 모은 데이터를 외부로 빼냄 | C23 서버 경유 암호화 전송, DNS 터널링4 | 업무 시간(낮 9시 ~ 6시)에 소량씩 HTTPS로 외부 서버에 전송 |
- 단계별로 몇 주에서 몇 달을 체류하기도 하며, 발각되지 않는 것이 최우선 목표 입니다.
- 방어자가 탐지하기 어려운 이유는 각 단계의 네트워크 트래픽5(네트워크를 오가는 데이터 흐름)이 정상 업무 트래픽과 비슷하게 위장되기 때문입니다. 예를 들어 업무 시간대에만 소량씩 HTTPS로 데이터를 내보내면 방화벽·로그 모니터링에 걸리지 않습니다.
일반 공격 vs APT 기초
| 구분 | 일반 공격 (예: 무작위 IP에 랜섬웨어 뿌리기) | APT |
|---|---|---|
| 표적 | 불특정 다수 | 특정 조직·기업 한 곳 |
| 기간 | 수 시간 ~ 며칠 | 수개월 ~ 수년 |
| 기술 | 단일 기법 반복 | 제로데이·악성코드·사회공학·네트워크 공격 결합 |
| 목적 | 즉각적 금전 이득 | 기밀 정보 탈취·국가 인프라 교란 |
| 주체 | 개인 해커·범죄 그룹 | 국가 지원 그룹·고도 조직 |
주요 침투 수단 심화
4단계 중 1단계(침투)에서 쓰이는 수단을 자세히 보면, APT는 다음처럼 다양한 경로를 조합합니다. 각 수단은 별도 페이지에서 자세히 다루며, 여기서는 APT 맥락에서의 역할만 정리합니다.
- 워터링 홀 — 표적 집단이 자주 방문하는 사이트에 악성코드를 심어 두고 기다림
- 스피어 피싱(Spear Phishing) — 표적 개인의 직책·관심사를 반영한 맞춤형 피싱 메일
- 제로데이 취약점 — 패치가 없는 취약점을 이용해 탐지 회피
- 공급망 공격(Supply Chain Attack) — 표적이 사용하는 소프트웨어 제작사나 협력사를 먼저 침해하여, 표적이 "정상 업데이트"를 받는 순간 감염시키는 방식. SolarWinds6 사건이 대표 사례
- 내부자 포섭 / 탈취 계정 — 협력사 직원을 금전으로 매수하거나, 이미 유출된 비밀번호 DB에서 내부 직원 계정을 재사용해 우회 침투
- 악성코드 — 침투 이후 단계에서 내부망 이동·데이터 수집을 위해 다양한 악성코드를 맞춤 배포
APT 지문에 "시스템에 직접 침투하는 것뿐 아니라 표적 내부 직원들이 이용하는 다양한 단말을 대상으로 한다"는 문장이 나오면, 바로 이 다양한 침투 수단을 가리키는 것입니다.
대표 사례 심화
| 사례 | 배후 추정 | 무엇을 했나 |
|---|---|---|
| Stuxnet (2010) | 미국·이스라엘 | 이란 나탄즈 핵시설 원심분리기 파괴. 4개의 Windows 제로데이를 동시에 사용한 최초의 국가 단위 사이버 무기 |
| Lazarus (2014~) | 북한 연계 | 소니 픽처스 해킹(2014), 방글라데시 중앙은행 SWIFT 탈취(2016), 다수 암호화폐 거래소 공격 |
| APT28 (Fancy Bear) | 러시아 연계 | 2016년 미 대선 관련 이메일 유출 공격 |
| APT29 (Cozy Bear) | 러시아 연계 | 미국 국무부·DNC 해킹, SolarWinds 공급망 공격(2020) |
- "APT + 숫자" 네이밍은 MITRE7 및 보안업계가 추적 중인 공격 그룹에 부여하는 식별자입니다.
- 국가 지원 그룹이 주 활용 주체인 이유는 제로데이 구매·개발에 막대한 자원이 필요하기 때문입니다. 블랙마켓·버그바운티에서 건당 수억 원에 거래되며, 자체 개발은 수개월의 연구 인력이 필요합니다.
대응 전략 심화
APT는 시그니처 기반 백신8만으로는 막을 수 없습니다. "이미 내부에 들어와 있다"는 가정하에 다층 방어를 설계해야 합니다.
- 행위 기반 탐지(EDR9) — 알려진 시그니처가 없어도 권한 상승·비정상 네트워크 연결 같은 의심 행위를 탐지
- 네트워크 세그먼테이션(Network Segmentation10) — 내부망을 구역으로 나눠 횡적 이동11을 차단하고 침해 범위를 제한
- 제로트러스트(Zero Trust12) — "내부는 안전하다"는 가정을 버리고 모든 접근을 매번 검증. 예를 들어 파일 서버에 접속할 때마다 사용자·기기·시간대를 재확인하고, 의심되는 접근에는 MFA를 추가 요구합니다.
- 위협 인텔리전스(Threat Intelligence13) — APT 그룹의 전술·기법(TTP14)을 공유받아 선제 탐지
- 패치 관리와 최소 권한 원칙 — 제로데이가 아닌 알려진 취약점이 침투 경로가 되지 않도록 기본기 유지
정보처리기사 실기 대비 팁 기초
지문에 다음 키워드가 복합적으로 나오면 정답은 APT 입니다.
- 표적 — "불특정 다수가 아닌 명확한 표적", "특정 조직·기업"
- 지속성 — "지속적인 정보 수집", "장기간 은밀히"
- 복합 기법 — "Zero-day 취약점, 악성코드 등 다양한 공격 기술"
- 4단계 — "침투, 검색, 수집, 유출의 4단계"
- 내부 단말 — "표적 내부 직원들이 이용하는 다양한 단말"
보기에 XDR, MITM, Adware, Replace attack 같은 단일 공격 기법이나 방어 솔루션이 섞여 있어도 위 키워드 중 3개 이상이 겹치면 APT입니다.
정처기 기출 문제
Footnotes
-
캠페인(Campaign): 여러 공격 기법을 묶어 몇 달에 걸쳐 실행하는 장기 공격 프로젝트를 가리킵니다. 선거 캠페인처럼 기간·목표·전략이 설정된 조직적 활동입니다. ↩
-
키로거(Keylogger): 키보드 입력을 가로채 기록하는 악성 프로그램입니다. APT 수집 단계에서 계정 정보·문서 내용을 빼내는 데 자주 쓰입니다. ↩
-
C2(Command and Control): 공격자가 감염된 단말을 원격으로 조종하고 명령을 내리는 공격용 서버입니다. ↩
-
DNS 터널링(DNS Tunneling): 데이터를 DNS 질의·응답 패킷에 숨겨 외부로 빼내는 기법입니다. 대부분의 방화벽이 DNS 트래픽을 차단하지 않아 은밀한 유출 경로로 쓰입니다. ↩
-
트래픽(Traffic): 네트워크를 오가는 데이터 흐름입니다. "정상 업무 트래픽"이란 이메일 송수신, 파일 다운로드처럼 일반 업무 중 발생하는 통신을 말합니다. ↩
-
SolarWinds 사건(2020): 미국 IT 관리 소프트웨어 기업 SolarWinds의 Orion 제품 업데이트 서버가 침해당해, 정상 업데이트에 악성코드가 주입된 채 전 세계 약 1만 8천여 고객사로 배포된 대형 공급망 공격입니다. 미 재무부·국무부·국토안보부 등 정부기관과 Microsoft 같은 기업이 피해를 입었으며, 러시아 연계 APT29(Cozy Bear) 소행으로 지목되었습니다. ↩
-
MITRE: 미국의 비영리 보안 연구 기관으로, 공격 그룹 및 전술·기법을 분류하는 ATT&CK 프레임워크를 운영합니다. ↩
-
시그니처 기반 백신: 알려진 악성코드의 '지문' 패턴을 DB에 저장해 일치하면 차단하는 전통적 백신입니다. 처음 등장하는 신종 악성코드는 탐지하지 못합니다. ↩
-
EDR(Endpoint Detection and Response): 단말(PC·서버) 행위를 실시간 분석하여 악성 행위를 탐지·대응하는 보안 솔루션입니다. ↩
-
네트워크 세그먼테이션(Network Segmentation): 내부망을 여러 구역으로 나눠 침해 범위를 제한하는 보안 구조입니다. ↩
-
횡적 이동(Lateral Movement): 침해된 시스템에서 같은 내부망의 다른 시스템으로 침투 범위를 넓혀가는 행위입니다. ↩
-
제로트러스트(Zero Trust): 내부망이라도 신뢰하지 않고 모든 접근을 검증하는 보안 원칙입니다. ↩
-
위협 인텔리전스(Threat Intelligence): 전 세계 공격 정보를 수집·분석해 방어자들에게 공유하는 체계입니다. APT 그룹의 최신 전술을 미리 파악해 선제 대응할 수 있습니다. ↩
-
TTP(Tactics, Techniques and Procedures): 공격자가 사용하는 전술·기법·절차를 뜻하는 위협 인텔리전스 용어입니다. MITRE ATT&CK 프레임워크가 대표적입니다. ↩