표적형 공격이란? 그 수단과 피해를 막는 대책에 대해 철저히 설명

최근, 「표적형 공격」을 받은 국내외의 기업이나 관공청에 있어서, 중요한 정보가 유출하는 사건이 다발하고 있습니다. 그 수법의 대부분은 전자 메일에 의해 악성 코드 등이 전송되어 기밀 정보와 개인 정보 등 중요한 데이터를 부정하게 취득된다는 것입니다.

지금까지는 주로 대기업이나 관공청이 표적으로 되어 왔지만, 최근에는 중소기업이나 병원 등도 표적으로 되어 있으며, 공격의 수법도 다양화하고 있습니다.

본 기사에서는, 표적형 공격의 개요와 수법, 공격으로부터 중요한 데이터를 지키기 위한 대책 방법, 피해 사례 등을 소개해 갑니다.

 

표적형 공격이란?

‘표적형 공격’이란 금전의 요구나 괴롭힘을 주된 목적으로 특정 기업이나 조직으로부터 중요한 정보를 훔치는 사이버 공격의 일종입니다 . 특히, 타겟이 명확하게 정해져 있는 점이 특징입니다. 또, 수법이나 기술도 해마다 고도화되고 있어, 공격을 받은 것을 깨닫기까지 잠시 시간이 걸리거나, 공격으로부터의 복구가 곤란하거나 하고 있어, 일단 공격을 받으면, 그 손실은 매우 큰 것입니다.

그렇다면 ‘표적형 공격’이란 구체적으로 어떤 공격일까요? 그 개요를 설명합니다.

특정 조직이나 사람, 단체를 노리고 행해지는 사이버 공격의 일종

「표적형 공격」이란, 특정의 기업 조직이나 단체, 관공청등의 기밀 정보를 훔치는 것을 목적으로 이용되는, 사이버 공격 수법의 하나입니다. 일반적인 사이버 공격과 다른 점은 대상에 대해 명확한 의지와 목적을 가지고 공격을 하는 것입니다. 또, 목적을 달성할 때까지 집요하게 공격이 반복된다는 것도 귀찮은 특징일 것입니다.

표적형 공격은 당초 관계기관이나 거래처 등을 가장하여 악성코드가 담긴 파일을 첨부하는 등의 이메일을 사용하여 정보를 훔치기 위한 바이러스에 감염시키는 방법이 일반적이었습니다.

그러나 현재는 이메일에 의한 공격 이외에도 다양한 수단이 이용되고 있습니다. 그 때문에, 모든 수단에 대응할 수 있는 대책이 요구되고 있습니다.

주요 공격 기법

 

표적형 공격에는 다양한 공격 수법이 있다고 말했습니다만, 대표적인 공격 수법을 3개 소개합니다.

타겟팅 공격 메일

우선 등장한 것은 「표적형 공격 메일」에 의한 공격입니다. 이것은 악성코드가 포함된 파일을 첨부하거나 악성코드를 다운로드하는 웹사이트의 URL을 붙인 이메일을 이용한 공격입니다 .

이 전자 메일을 대상 기업이나 조직의 사람이 받을 때 첨부 파일을 열거나 악의적인 웹 사이트에 대한 URL 링크를 클릭하면 컴퓨터 등이 바이러스에 감염됩니다. 다음으로, 이 바이러스의 작용으로 대상의 사내 시스템을 탈취해, 중요한 정보가 격납된 서버로부터 정보를 유출시키거나 파괴하거나 합니다.

물 마시는 장소 공격

다음으로, 「물 마시는 공격」이라고 하는 비교적 새로운 공격 방법에 대해 해설합니다. 이것은 특정 개인이나 특정 기업의 직원이 자주 열람하는 사이트를 변조하고 맬웨어를 넣는 방법입니다 . 타겟의 상대가 사이트를 열람해, 사이트에 설치된 링크나 버튼을 클릭하면 멀웨어에 감염하는 구조가 되고 있습니다.

또, 타겟이 아닌 사람이 열람해도 멀웨어에는 감염되지 않는 등, 타겟과 그 이외로 움직임이 다른 것이 큰 특징입니다. 대상인지 여부는 IP 주소 등으로 판별합니다. 물 마시는 곳에 매복하고 먹이를 잡는 모습에 비유해 이런 이름이 되고 있습니다.

 

웹사이트 변조

세 번째는 “웹 사이트의 변조”에 의한 공격입니다. 이것은 웹 서버의 취약점을 찌르거나 관리자 권한을 탈취하여 웹 사이트의 내용을 변조하는 것입니다. 그 결과, 열람자를 부정한 사이트 등으로 유도하여 금전 등을 지불하게 하거나 개인정보를 빼내거나 합니다.

웹사이트를 개조된 기업이나 조직과 관련된 사용자가 피해를 입을 수 있으므로 표적이 된 기업이나 조직은 크게 신용을 잃습니다. 웹 사이트의 위조에는 웹 서버의 취약점을 파악하는 방법과 웹 사이트의 관리자 계정을 탈취하는 두 가지 방법이 있습니다.

공격 수법의 타입은 2종류로 대별된다.

다양화를 계속하는 표적형 공격입니다만, 그 수법은 대략 “잠복형”과 “속공형”의 2종류로 나눌 수 있습니다. 각각의 특징에 대해 설명하겠습니다.

잠복형

「잠복형」은 맬웨어가 기업 내부의 네트워크나 시스템에 장기간에 걸쳐 잠복해, 시간을 들여 단말 등의 감염 범위를 넓혀 갑니다. 그리고 감염시킨 단말기로부터, 보다 중요한 정보를, 시간에 걸쳐 취득해 계속합니다. 이러한 특징 때문에, 조기 발견·조기 대응을 실시하지 않으면 피해가 커지기 쉽기 때문에, 얼마나 빨리 네트워크 트래픽의 이변을 인지할지 어떨지가 열쇠가 됩니다.

속공형

「속공형」은, 단말을 감염시킨 후, 몇 시간부터 며칠 사이에 정보를 취득해 갑니다. 노린 정보만을 단기간에 정확하게 취득해 갑니다. 1회로 성공한다고는 할 수 없기 때문에, 몇회에 걸쳐 계속적으로 공격이 계속되는 것이 특징입니다. 또, 단시간에 노린 정보를 한번에 도취하기 때문에, 일시적으로 단말이나 네트워크의 부하가 커지기 때문에, 잠복형보다는 알아차리기 쉽다 .

타겟팅 공격 절차

표적형 공격에는 절차가 있으며, 그 절차에 따라 정보를 훔치거나 파괴하는 등의 공격을 합니다. 목표 공격의 절차를 아는 것은 기업 및 조직 시스템에 대한 보안 조치를 수행하는 데 매우 중요합니다.

공격 준비로부터 초기 잠입

공격자는 먼저 대상이 되는 기업이나 조직의 시스템이나 네트워크 등의 정보를 수집하여 공격할 수 있는 대상을 정합니다. 그런 다음 어떤 공격이 유효한지 분석하고 공격에 사용할 도구 등을 준비합니다. 여기까지가 공격의 준비 단계입니다.

준비가 되면 대상 공격 메일이나 물 마시는 공격 등으로 대상에 악성코드를 보내고 실행될 때까지 기다립니다. 대상 단말기나 시스템이 악성코드에 감염된 후 실제로 악성 프로그램이 실행될 때까지의 잠복 기간을 초기 잠입이라고 합니다.

공격 기반 구축 및 시스템 내부 조사

초기 잠입으로 감염시킨 단말에 「백도어(뒷문)」라고 불리는 환경을 구축합니다. 이렇게하면 공격자가 제어 할 수있는 외부 서버와 통신 할 수있는 환경이 구축됩니다. 이 단계에서는, 단말을 조작하는 유저측은 이러한 변화를 눈치채지 않는 것이 대부분입니다. 여기까지 공격 기반이 생겼습니다.

공격 기반이 생기면 공격자는 대상 정보가 저장되는 위치를 식별하기 위해 시스템 내부의 정보를 수집합니다. 병행하여 관리자 권한이 있는 계정을 탈취한 경우 더욱 침입할 수 있는 기기를 늘립니다.

악성 프로그램을 실행하여 중요한 데이터가 저장되는 위치를 확인합니다.

공격 수행

중요한 데이터의 저장 위치를 ​​식별한 공격자는 침입한 단말기를 조작하고, 중요한 정보를 공격자가 관리하는 외부 서버로 이미 설치한 백도어를 통해 전송 합니다 . 이때, 클라이언트나 송신 경로에서의 검출을 회피하기 위해, 파일을 분할해 송신하는 등, 정보를 송신하기 위한 부정한 프로그램도 교묘해지고 있습니다.

목적으로 하는 데이터를 모두 취득하고, 공격이 완료되면 이러한 공격에 관여한 흔적 등을 소멸시켜, 증거 숨멸을 도모합니다.

경우에 따라 구축한 백도어를 이용하여 다시 침입할 수도 있고 다른 중요한 데이터를 더 도난당할 수도 있습니다.

표적형 공격을 막기 위한 대책

여기까지, 표적형 공격을 받았을 때에 조기에 발견하는 것이 어려운 것을 알 수 있을까 생각합니다.

그렇다면 표적 공격을 막으려면 어떻게 해야 합니까? 맬웨어 등이 침입하지 않는 시스템의 대책은 중요합니다. 또한 직원의 보안 의식 개혁도 필요할 것입니다. 기본적인 대책을 주지해 두는 것으로 표적형 공격을 막는 것이 가능한 것이 많기 때문입니다.

그리고 만일, 표적형 공격을 당했을 때에도, 시스템에 침입되는 것을 전제로 한 시큐리티 대책을 행하는 것도 중요합니다. 예를 들어, 공격자가 데이터를 도난당하더라도 데이터가 암호화되면 공격자는 데이터의 내용을 알 수 없습니다.

그러면, 표적형 공격의 대책 방법에 대해서, 곧바로 대응 가능한 것부터 순서대로 설명합니다.

직원의 보안 의식 개혁과 단말기 및 시스템의 보안 대책

먼저 필요한 것은 대상 공격 메일의 대책에 대한 교육을 직원에게 실시하는 것입니다. 익숙하지 않은 메일에 첨부된 수상한 파일을 열지 않는, 【긴급】등의 건명에 주의하는 등, 과거의 피해 사례를 토대로 직원의 시큐러티 의식을 높이자. 첨부 파일의 용량을 확인하는 것도 중요합니다. 악성코드가 포함된 첨부 파일은 대부분 용량이 이상하게 크기 때문입니다.

또한 단말기나 시스템의 OS나 소프트웨어를 항상 최신 상태로 업데이트하여 가능한 한 취약성을 해소하는 것도 중요합니다 . 이것은 부정한 침입을 허용할 가능성이 적습니다.

중요한 데이터 암호화

기밀 정보나 개인 정보 등 중요한 데이터가 들어 있는 파일은 암호화해 두는 것도 효과적인 대책입니다. 만약, 표적형 공격을 당해 중요 정보가 들어간 파일이 유출해도, 공격자는 파일에 액세스 할 수 없고, 파일의 내용이 알려지지는 않습니다.

공격자의 침입을 전제로 한 다층 방어에 의한 대책(입구, 내부, 출구)

표적형 공격에 한정되지 않고, 최근의 사이버 공격은 아무리 대책을 실시해도 막을 수는 없습니다. 그래서 이러한 공격을 막기 위한 「입구 대책」뿐만 아니라 공격자가 네트워크에 침입하는 것을 전제로 한 「내부 대책」이나 「출구 대책」이 중요해져 왔습니다.

앞에서 언급했듯이 외부로부터의 침입을 막는 것이 입구 대책입니다. 방화벽, 스팸 필터, IDS/IPS(부정 침입 검지/부정 침입 방지 시스템) 등이 주요 대책으로 사용되고 있습니다.

그리고 시스템의 로그 감시 등을 행해, 중요한 데이터에 대해서 권한이 없는 인간이 액세스하는 것을 막는 것이 내부 대책이 됩니다. 앞 절에서 설명한 데이터 암호화도 내부 대책 중 하나입니다.

또, 네트워크로부터 외부로 의심스러운 통신이 있었을 경우에, 통신을 차단하는 것이 출구 대책입니다. 의심스러운 프로그램의 모습을 감시하는 샌드박스형의 대책이나, 데이터의 내부까지 확인할 수 있는 WAF(Web Application Firewall)를 설치해, 외부에 나가는 데이터를 감시하는 대책 등이 있습니다.

 

표적형 공격의 종류별 피해 내용

여기까지, 표적형 공격의 개요와 공격 수단, 그리고 그 대책까지를 소개해 왔습니다.

본 장에서는, 지금까지 표적형 공격에 의해 피해를 당한 사례를 소개하고, 표적형 공격의 종류마다 피해의 내용에 대해 해설합니다.

표적형 공격 메일에 의한 피해

2015년, 대수법인 직원을 대상으로 대량의 표적형 메일이 도착합니다. 그리고 직원이 이메일 첨부 파일을 열거나 본문의 URL 링크를 클릭하여 바이러스에 감염되었습니다.

감염의 원인이 된 메일의 주제가 실재할 것 같은 주제이며, 매우 수법이 교묘했기 때문에, 다른 직원의 단말도 차례차례로 맬웨어에 감염합니다. 그 결과 약 125만 명분의 개인정보가 유출되는 사건이 되었습니다.

물 마시는 공격에 의한 피해

2013년 해외 정부 웹사이트에 악의적인 자바스크립트가 탑재되어 열람한 사용자에게 악성코드를 다운로드하게 되었습니다. 이 공격은 당시 Internet Explorer 8의 제로 데이 취약점을 악용하여 사이트 뷰어를 맬웨어에 감염시켰습니다. 제로데이 취약점이란 소프트웨어 취약점 중 존재 여부가 공개되기 전이나 수정 프로그램(패치)이 출시되기 전의 취약점을 의미합니다.

이것은 최초로 공격한 웹사이트에 흥미가 있는 정부기관의 직원이나 에너지 분야의 관계자를 몰래 겨냥한 것으로 추측되는, 물 마시는 공격의 일례입니다.

웹사이트의 위조로 인한 피해

2018년 4월, 미국의 대형 동영상 사이트에 있는 인기 아티스트의 PV가 변조되는 피해를 당했습니다. 원인은 다른 스트리밍 사이트의 채널이 해킹되었기 때문입니다.

YouTube에서 시청 횟수가 톱이었던 동영상의 썸네일이 전혀 관계없는 마스크 모습으로 총을 든 집단의 이미지로 대체되었으며, 일시적으로 시청할 수 없는 상태로 되었습니다. 또 다른 몇몇 인기 아티스트의 동영상이 비슷한 수법으로 개조되었습니다.

덧붙여 멀웨어등이 담겨 있지 않은 것만은 다행이었을지도 모릅니다.

표적형 공격은 기업·조직으로부터 중요한 정보를 훔치는 사이버 공격의 일종

표적형 공격이란, 목적으로 하는 기업이나 조직에 침입해, 기밀 정보나 개인 정보 등 중요한 정보를 도취하는 사이버 공격의 하나입니다. 기업이나 조직의 직원에게 악성코드를 보내거나, 네트워크상의 취약성을 찌르고 공격자 스스로 침입하거나 하고, 목적의 데이터를 조금씩 도난해 나가기 때문에, 곧 알아차리기 어려운 곳이 대책을 어렵게 하고 있다 합니다.

또 한번 침입되면 몇번이나 공격을 받을 수도 있는 등 다른 중요한 데이터도 취득될 수 있습니다.

대책으로는 수상한 메일에 첨부된 파일을 열거나 링크를 클릭하지 않는 등 직원에게 보안 교육을 실시하는 것을 우선 들 수 있습니다. 그런 다음 전체 시스템을 항상 최신 상태로 업데이트하여 가능한 한 취약성을 없애는 것입니다. 마지막으로, 만약 공격자에게 침입을 허락해 버렸다고 해도, 데이터를 암호화하거나 네트워크 외부에의 수상한 통신을 검지해 차단하는 등 다층적인 방어 방법을 행할 필요가 있습니다.

본 기사에서 설명한 표적형 공격의 특징을 바탕으로 적절한 표적형 공격 대책을 실시하여 중요한 데이터를 지켜 주십시오.