APT 공격 탐구하기 | Notion

1. APT(Advanced Persistent Threat) 공격 개요

단순한 해킹이 아니라 장기간/조직적/표적형으로 진행되는 고도화된 공격

Advanced: 취약점 익스플로잇, 제로데이 공격, 사회공학적 기법 등 첨단 기술 활용
Persistent: 공격자가 네트워크나 시스템에 오랜 기간 은밀하게 상주하며 정보 수집 및 탈취
Threat: 국가, 해커 집단, 산업 스파이 등 명확한 의도를 가진 위협 주체

**** APT 공격의 특징**

지속성: 수개월~수년 동안 탐지 회피
표적성: (무차별이 아닌) 특정 조직과 산업군 집중
다단계 공격: 다양한 기법 및 벡터를 결합
탐지 회피 기술: 암호화된 C2 트래픽, 정상 프로세스 위장, LOL(Living-off-the-Land) 기법

2. APT 공격의 전형적인 단계 (Cyber Kill Chain 기반)

단계	설명	예시
1. 정찰(Reconnaissance)	표적 대상에 대한 정보 수집 (OSINT, 사회공학)	임직원 SNS 분석, 이메일 수집
2. 침투(Initial Compromise)	피싱 메일, 악성 첨부파일, 웹 취약점으로 초기 진입	스피어피싱, 워터링홀 공격
3. 설치(Establish Foothold)	백도어, 원격 제어 툴 설치	C2 서버와 통신 설정
4. 권한 상승(Privilege Escalation)	관리자 권한 획득, 계정 탈취	Mimikatz로 해시 덤프
5. 내부 이동(Lateral Movement)	네트워크 내 다른 시스템 침투	Pass-the-Hash, RDP 이동
6. 데이터 수집(Data Collection)	중요 자산, 기밀 문서 수집	DB 쿼리 실행, 파일 압축
7. 데이터 탈취(Exfiltration)	외부로 정보 전송	HTTPS, DNS 터널링 이용
8. 흔적 삭제(Cover Tracks)	로그 삭제, 타임스탬프 조작	이벤트 로그 삭제

3. APT 탐지 기법

: 전통적인 시그니처 기반 탐지로는 한계가 있어, 행위 기반-이상 탐지가 필수적임

(1) 엔드포인트 기반 탐지