사이버 공격 킬 체인의 이해

지능형 위협은 최대 7 단계의‘킬 체인’에서 발생한다. 데이터 유출 공격을 만들고 실행하는 수많은 방법을 사용하는 사이버 범죄자들에 의한 모든 위협들이 7단계를 전부 사용하지는 않는다.‘ 킬 체인’이라는 용어는 만약 올바른 방어 체계를 구축하고 있다면 이러한 각각의 단계 중에서 어떤 단계에서 공격을 막을 수 있는지의 능력을 말한다.

웹센스 편집진 www.websense.com

단계 01 : 정찰
정찰 단계에서, 사이버 범죄자들은 개인, 전문가 및 소셜미디어 웹 사이트를 사용하여 자신의 목표를 물색한다. 그들의 통제하에 해킹된 웹 사이트로 연결되는 신뢰할 수 있는 ‘유인’을 생성하는 데 도움이 되는 정보를 찾고 있다. 어떤 유인은 인간의 호기심에 바탕을 두고 최근의 재해, 사회극 또는 유명 인사의 죽음을 사용한다.

단계 02 : 유인
유인 단계에서 수집된 정보를 사용하여, 사이버 범죄자들은 해킹된 웹 사이트로 연결되는 링크를 클릭하도록 사용자들을 속이는 무해하게 보이는‘유인’을 생성한다. 유인은 신뢰할 수 있는 소스에서 온 것처럼 보이기 위해 이메일, 소셜 미디어 게시물 또는 다른 콘텐츠를 통해 제공된다.

단계 03 : 리다이렉트
유인에서, 사이버 범죄자들은 취약점 공격 킷, 취약점 공격코드, 난독화 스크립트 또는 다른 악의적인 콘텐츠가 포함된 안전하게 보이거나 숨겨진 웹 페이지로 사용자들을 ‘리다이렉트’한다.

단계 04 : 취약점 공격 킷
사용자들이 해킹된 웹 사이트로 연결된 링크를 클릭하면, 취약점 공격 킷으로 알려진 소프트웨어가 피해자의 시스템을 스캔하여 드러난 취약점 또는 제로데이 위협을 발견한다. 이러한 취약점은 사이버 범죄자들이 추가적으로 네트워크에 침입이 가능하도록 악성코드(Malware), 키 로거 또는 다른 지능형 도구를 전달하는 출입문이 된다.

단계 05 : 드로퍼 파일
취약점 공격 킷은 악성 코드를 전달하는 경로를 발견하면, 일반적으로 사이버 범죄자들은 피해자의 시스템을 감염시키기 위해 다른 해킹된 서버에서 ‘드로퍼 파일’을 전달한다. 드로퍼 파일에는 중요한 데이터를 발견하고 추출하는 과정을 시작하기 위해서 희생자의 시스템에서 실행되는 소프트웨어가 포함되어 있을 수 있다. 일부 드로퍼 파일은 탐지를 회피하기 위해 소정 기간 동안 활동을 중단한 상태로 유지하고 향후에 악성 코드를 전달하기 위하여 추가적인 실행 파일이 포함되는 경우가 있다.

단계 06 : 콜홈(Call Home)
일단 드로퍼 파일이 목표 시스템을 감염시키면, 추가 프로그램, 툴 또는 명령을 다운로드받기 위하여 명령 및 제어(Command-and-Control) 서버로 콜홈(Call home)을 한다. 이는 공격자와 감염된 시스템 간의 직접 연결이 시작되는 점이다.

단계 07 : 데이터 유출
가장 최신의 사이버 공격의 최종 게임인 데이터 유출 단계로 위협 킬 체인을 완료한다. 사이버 범죄자들은 금전적인 이득을 위해 또는 다른 공격에 사용하기 위해 지적 재산권, 개인 식별 정보 또는 다른 중요한 데이터를 훔친다.

필요한 방어 체계

사이버 범죄 공격들은 기존의 방어를 우회하고 데이터를 유출하는 계획된 공격 모델을 따라해서 성공한다.
이러한 지능형 공격들은 시그니처가 개발되기도 전에 너무 자주 발생하기 때문에 이미 적용된 독립형 방어 시스템으로 대응이 불가능하다. 조직에서는 ‘지능형 위협의 7단계’를 통합하는 방어 체계를 구축하기 위하여 세가지 핵심 보안 요구 사항이 필요하다.

1.제로 데이, 시그니처리스(signature-less) 위협과 APT를 식별할 수 있는 인라인의 실시간 방어
2.실시간 인텔리젼스 기반의 통합 웹, 이메일 및 데이터 보안 솔루션
3.데이터 유출 및 데이터 손실을 방지하는 지능형 아웃바운드 봉쇄 방어 웹센스 TRITON은 세 가지 요구 사항 모두를 단일의 통합 솔루션으로 결합한 최초의 플랫폼이다.
1.TRITON은 글로벌 위협 인텔리젼스로부터 정보를 제공받는 실시간 방어로 무장된 웹센스 지능형 분류 엔진(ACE)에 의해 구동된다.
2.TRITON은 모두 ACE에 의해 구동되는 통합 웹, 이메일 및 데이터 보안을 제공한다.
3.TRITON 은 웹 및 이메일 보안의 핵심인 데이터 유출 방지(DLP) 기술을 통합하여 지능형 봉쇄 방어는 조직의 외부로 나가는 데이터를 보호한다.

TRITON을 사용하는 조직에서는 어플라이언스, 클라우드 또는 두 플랫폼의 하이브리드 구축으로 본사, 지사 및 모바일 작업자까지 동일하게 보호를 받는다. TRITON으로, 조직과 직원 그리고 중요한 데이터는 지능형 위협의 7단계 전반에 걸쳐서 보호를 받는다.