사이버 공격 확산 방지 및 신속한 대응을 위한 사이버 위협 인텔리전스 분석 기술

• 저자: 김병익, 이슬기, 김경한, 박순태
• 소속: 한국인터넷진흥원 보안위협대응 R&D팀

요약

• 최근 국내에서 발생되고 있는 사이버 공격들의 대부분은 기존 보안 장비로 탐지가 어려운 지능형 공격임.
• 2017년 한 해 동안 발생한 사이버 공격의 경제적 피해액은 약 77조원에 달하고 있음.
• 이러한 공격을 탐지하는데 평균 145일 정도가 소요되고 있으며 국내 기업 중 약 70% 가량은 사이버 공격을 적극적으로 대응하고 있지 않음.
• 이러한 공격들은 대부분 과거에 발생한 공격의 변형이거나, 특정 공격 집단이 수행하는 유사/변종 공격들임.
• 이러한 사이버 공격을 사전에 탐지하거나 이미 발생된 공격의 변형된 공격을 신속하게 탐지하기 위해서 본 논문에서 기존 사이버 공격에 사용된 다양한 정보들을 능동적으로 수집하여, 이들 간의 연관성을 분석하고 실시간으로 유입되는 공격 의심정보와 비교분석하는 기술을 제시한다.

1. 서론

• 국내에서 발생되고 있는 사이버 공격들의 대부분은 APT 공격, 워터링 홀(Watering Hole) 공격 등 기존 사이버 공격들과 다른 지능형 공격으로 2017년 한 해 동안 발생한 사이버 공격의 경제적 피해액은 약 77조원에 달하고 있음.
  • APT(Advanced Persistent Threat) 공격이란, 툭수목적을 가진 조적이 기간 시설 망 또는 핵심보안 업체 등을 표적으로 삼고 다양한 IT 기술과 방식들을 이용해 지속적으로 정보를 수집하고 취약점을 파악하여 이를 바탕으로 피해를 끼치는 공격임.
    • APT 공격
    • APT-1 (APT 공격이란 무엇인가?)
    • APT 공격과 대응방안
  • 워터링 홀(Watering Hole) 공격이란, 공격대상가 자주 방문하는 홈페이지를 사전에 악성코드에 감염시킨 뒤 공격대상이 접속할 때까지 잠복하면서 기다리며, 공격대상이 접속하면 비로서 공격을 시도하는 수법. 홈페이지에 접속하는 모든 사용자를 공격하기 때문에 접속하는 모든 사용자가 공격의 대상이 됨.
    • 워터링 홀(Watering Hole) 공격의 위험성
    • [카드뉴스] 왕초보 위한 용어 풀이, ‘워터링 홀’ 공격이란?
    • [알쓸보안사전] ‘당신’만 노리는 사이버상에 설치된 덫, 워터링 홀
• 지능화된 공격의 예로 2018년도 6월부터 8월까지 3개월 간 정부 기관 3곳을 사칭한 악성 E-Mail 기반의 APT 공격이 발생하였다.
• 대부분 한글 문서 기반의 악성코드를 첨부한 E-Mail을 발송하였으며, 동일한 공격 기법과 문서 생성자, 동일한 명령 제어(C&C) 서버를 이용한 공격으로 분석되었음.
• 이들 공격은 기존에 성공한 공격을 변경하거나 수정한 공격들이다. 이러한 공격은 대부분 기존 성공한 공격의 변형된 공격이지만 정확한 공격 탐지 정보(Signature)를 사전에 확보하지 못해 유사 공격들을 탐지하지 못하고 있다.
• 따라서 본 논문에서는 이러한 문제를 해결하고자 기존 발생된 사이버 공격의 정보들 기반의 유사 공격 정보 분석, 공격에 악용된 자원들 간의 연관성 분석 및 공격 간의 연관성 분석을 통해 알려지지 않은 유사/변종 사이버 공격을 실시간으로 대응하는 시스템을 제안함.