최근 지능형 지속위협(APT) 공격조직은 국가핵심기술을 보유한 기업이나 기관을 대상으로 다양한 취약점 및 공격기법을 악용해서 랜섬웨어를 유포한 후 금전을 요구하거나 국가적으로 중요한 산업기밀 자료를 절취해서 암시장(다크웹)에 유통시키거나 제3국에 판매 또는 기술격차를 줄이는데 활용하는 등 국가차원의 보안대비가 필요하다. 이 논문에서는 Kimsuky, Lazarus 등 한국을 대상으로 APT 공격으로 산업기밀유출 피해를 입혔던 공격조직의 공격수법을 MITRE ATT&CK 프레임워크로 분석하고, 기업의 보안시스템이 추가적으로 갖추어야 할 사이버 보안관련 관리적, 물리적 및 기술적 보안요구사항 26개를 도출하였다. 또한, 보안 요구사항을 실제 보안업무에 활용할 수 있도록 보안 프레임워크 및 시스템 구성방안도 제안하였다. 이 논문에서 제시한 보안요구 사항은 보안시스템 개발 및 운영자들이 기업의 산업기밀 유출 방지를 위한 보안업무에 활용할 수 있도록 실질적인 방법 및 프레임워크를 제시했으며 향후 이 논문을 기반으로 다양한 APT 공격그룹의 고도화·지능화된 공격을 분석하고 관련 보안대책 연구가 추가적으로 필요하다.
최근 지능형 지속위협(APT) 공격조직은 국가핵심기술을 보유한 기업이나 기관을 대상으로 다양한 취약점 및 공격기법을 악용해서 랜섬웨어를 유포한 후 금전을 요구하거나 국가적으로 중요한 산업기밀 자료를 절취해서 암시장(다크웹)에 유통시키거나 제3국에 판매 또는 기술격차를 줄이는데 활용하는 등 국가차원의 보안대비가 필요하다. 이 논문에서는 Kimsuky, Lazarus 등 한국을 대상으로 APT 공격으로 산업기밀유출 피해를 입혔던 공격조직의 공격수법을 MITRE ATT&CK 프레임워크로 분석하고, 기업의 보안시스템이 추가적으로 갖추어야 할 사이버 보안관련 관리적, 물리적 및 기술적 보안요구사항 26개를 도출하였다. 또한, 보안 요구사항을 실제 보안업무에 활용할 수 있도록 보안 프레임워크 및 시스템 구성방안도 제안하였다. 이 논문에서 제시한 보안요구 사항은 보안시스템 개발 및 운영자들이 기업의 산업기밀 유출 방지를 위한 보안업무에 활용할 수 있도록 실질적인 방법 및 프레임워크를 제시했으며 향후 이 논문을 기반으로 다양한 APT 공격그룹의 고도화·지능화된 공격을 분석하고 관련 보안대책 연구가 추가적으로 필요하다.
In recent years, advanced persistent threat (APT) attack organizations have exploited various vulnerabilities and attack techniques to target companies and institutions with national core technologies, distributing ransomware and demanding payment, stealing nationally important industrial secrets an...
In recent years, advanced persistent threat (APT) attack organizations have exploited various vulnerabilities and attack techniques to target companies and institutions with national core technologies, distributing ransomware and demanding payment, stealing nationally important industrial secrets and distributing them on the black market (dark web), selling them to third countries, or using them to close the technology gap, requiring national-level security preparations. In this paper, we analyze the attack methods of attack organizations such as Kimsuky and Lazarus that caused industrial secrets leakage damage through APT attacks in Korea using the MITRE ATT&CK framework, and derive 26 cybersecurity-related administrative, physical, and technical security requirements that a company's security system should be equipped with. We also proposed a security framework and system configuration plan to utilize the security requirements in actual field. The security requirements presented in this paper provide practical methods and frameworks for security system developers and operators to utilize in security work to prevent leakage of corporate industrial secrets. In the future, it is necessary to analyze the advanced and intelligent attacks of various APT attack groups based on this paper and further research on related security measures.
In recent years, advanced persistent threat (APT) attack organizations have exploited various vulnerabilities and attack techniques to target companies and institutions with national core technologies, distributing ransomware and demanding payment, stealing nationally important industrial secrets and distributing them on the black market (dark web), selling them to third countries, or using them to close the technology gap, requiring national-level security preparations. In this paper, we analyze the attack methods of attack organizations such as Kimsuky and Lazarus that caused industrial secrets leakage damage through APT attacks in Korea using the MITRE ATT&CK framework, and derive 26 cybersecurity-related administrative, physical, and technical security requirements that a company's security system should be equipped with. We also proposed a security framework and system configuration plan to utilize the security requirements in actual field. The security requirements presented in this paper provide practical methods and frameworks for security system developers and operators to utilize in security work to prevent leakage of corporate industrial secrets. In the future, it is necessary to analyze the advanced and intelligent attacks of various APT attack groups based on this paper and further research on related security measures.
또한, 각 보안 요구사항 별로 보안대책을 매핑하는 보안프레임워크를 제안하였고, 이를 기반으로APT 공격에 효과적으로 대응하기 위한 신규 시스템 도입 또는 구축방안도 제안하였다. 본 논문은 보안시스템 개발 및 운영자들이 기업의 산업기밀 유출 방지를 위한 보안업무에 실질적으로 활용할 수 있도록 현재의 기술로 구현 가능한 시스템으로 구성하였다. 한편, 본 논문에서 도출한 보안요구사항, 보안프레임워크 및 시스템 구축 방안이 APT 공격을 방어하는 절대적인 방법이 될 수는 없으나, APT 공격조직의 공격 행태는 유사한 방법으로 진행된다는 점에 착안해서 주기적으로 공격 방법 등을 분석해서 모듈 형태로 본 프레임워크에 추가 한다면 각종 해킹 공격에 효과적으로 대응할 수 있다고 생각한다.
제안 방법
본 논문에서는 APT 공격 분석에 적합한 ATT&CK를 활용해서 한국을 대상으로 APT 공격으로 피해를 입혔던 Kimsuky, Lazarus, LAPSUS$ APT 해킹조직의 공격수법을 분석하고, 그에 따른 보안시스템 운영자 또는 보안조직이 추가적으로 수행해야 하는 보안 요구사항을 도출하고 프레임워크를 제안 한다
제2장에서는 Lockheed Martin사의 사이버 킬 체인과 MITRE사의ATT&CK 관련 기본 개념을 살펴보고 제3장에서는 대표적인 APT 공격조직의 공격을 ATT&CK 프레임워크에 맞춰 분석해서 각 조직별 공격전술 및 기술을 비교해 보았으며, 제4장에서는 제3장에서 분석한 결과와 실제 사이버 보안 영역에서 이뤄지고 있는 해킹기법을 조합해서 기업에서 현재 운용중인 보안시스템 또는 보안조직에서 갖추어야 할 추가적인 보안요구사항을 도출하고 산업기밀 유출 방지를 위한 보안 프레임워크를 제안하였다
각 공격전술별 해킹조직의 공격 방법을 분석해서 <표 3>과 같이 보안 요구사항 26개를 도출하였다. 도출한 보안 요구사항은 시스템으로 구현 가능한 기술적(Technical, T로 표시) 방안 외에도 직원 인식 교육 등의 관리적(Administritive, A로 표시) 방안 및 물리적(Physical, P로 표시) 방안도 함께 고려하였다.
[12] 따라서, 이러한 유형의 APT 공격을 방어하기 위해서는 유지보수 목적으로 반입하는 내외부 직원의 USB나 노트북에 대한 반입통제 및 반입 전에 악성코드를 검사하고, 스마트폰 테더링, LTE 라우터 등의 인터넷 연결이 가능한 통신장비 반입여부 등을 점검하는 물리적인 절차도 추가 및 강화해야 한다. 본 논문에서는 관리적 방안 3개(SR-3, 19, 25), 물리적 방안 3개(SR-6, 8, 10) 및 기술적 방안 20개(SR-1, 2, 4, 5, 7, 9, 11, 12, 13, 14, 15, 16, 17, 18, 20, 21, 22, 23, 24, 26) 등 총 26개의 보안요구사항을 도출하였다.
APT 공격조직의 공격 행태 분석을 통해 보안 요구사항 26개를 도출하였으며, 이를 기반으로 보안 프레임워크를 제안하고자 한다. 보안 프레임워크를 구현함에 있어, 기술적인 방안 외에도 직원 보안 교육 등의 관리적 방안 및 물리적 방안도 함께 고려하여야한다.
이러한 한계점을 극복하기 위해 본 논문에서는 우리나라를 대상으로 APT 공격을 감행한 3가지 조직의 공격 수법을 ATT&CK 툴로 분석하였다.
조직별로 공격 유형 및 공격방법을 교차 분석하였으며, 그에 따른 방어자 입장에서의 보안 요구사항(SR, Security Requirements) 26개를 도출하였다. 도출된 보안요구사항은 관리적, 물리적, 기술적 방안으로 구분해서 보안대책을 수립할 수 있다.
또한, 각 보안 요구사항 별로 보안대책을 매핑하는 보안프레임워크를 제안하였고, 이를 기반으로APT 공격에 효과적으로 대응하기 위한 신규 시스템 도입 또는 구축방안도 제안하였다. 본 논문은 보안시스템 개발 및 운영자들이 기업의 산업기밀 유출 방지를 위한 보안업무에 실질적으로 활용할 수 있도록 현재의 기술로 구현 가능한 시스템으로 구성하였다.
각 공격전술별 해킹조직의 공격 방법을 분석해서 <표 3>과 같이 보안 요구사항 26개를 도출하였다
후속연구
본 논문은 보안시스템 개발 및 운영자들이 기업의 산업기밀 유출 방지를 위한 보안업무에 실질적으로 활용할 수 있도록 현재의 기술로 구현 가능한 시스템으로 구성하였다. 한편, 본 논문에서 도출한 보안요구사항, 보안프레임워크 및 시스템 구축 방안이 APT 공격을 방어하는 절대적인 방법이 될 수는 없으나, APT 공격조직의 공격 행태는 유사한 방법으로 진행된다는 점에 착안해서 주기적으로 공격 방법 등을 분석해서 모듈 형태로 본 프레임워크에 추가 한다면 각종 해킹 공격에 효과적으로 대응할 수 있다고 생각한다.
향후, 이 논문을 기반으로 각종 사고사례를 통해 실체가 파악된 다양한 APT 공격조직의 고도화·지능화된 공격을 ATT&CK 툴로 분석해서 보안 요구사항을 도출 한 후 보안대책을 마련하는 추가적인 연구가 필요하다.
참고문헌 (18)
LockheedMartin, "Seven Ways to Apply the Cyber Kill Chain with a Threat Intelligence Platform", lockheedmartin.com, 2015.
Eric M. Hutchins, "Intelligence-Driven Computer Network Defense Informed by Analysis of Adversary Campaigns and Intrusion Kill Chains", www.lockheedmartin.com, 2011.
윤영인, 김종화, 이재연, 유석대, 이상진, "APT 공격 사례 분석을 통한 사이버 킬체인과 TTP에 대한 연구", 융합보안논문지, 제20권, 제4호, pp92-99, 2020.
Jung-Sik Lee, Sung-Young Cho, Haeng-Rok Oh, Myung-Mook Han, "A Study on Defense and Attack Model for Cyber Command Control System based Cyber Kill Chain", Journal of Internet Computing and Services(JICS), pp.41-50, 2021.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.