APT(Advanced Persistent Threat)란?
APT는 특정 대상을 장기간에 걸쳐 집요하게 공격하는 고도화된 위협 행위자입니다. 정보보안기사 시험에서는 사이버 킬체인, APT 공격 단계, 국가 행위자 TTP, 탐지 회피 기법이 핵심 출제 범위입니다.
록히드 마틴 사이버 킬체인(Cyber Kill Chain)
- 1단계 정찰(Reconnaissance): 표적 정보 수집. OSINT, 소셜 엔지니어링, 포트 스캔
- 2단계 무기화(Weaponization): 익스플로잇과 페이로드 결합. 악성 문서, 드로퍼 생성
- 3단계 전달(Delivery): 피싱 이메일, 악성 USB, 워터링홀 공격
- 4단계 익스플로잇(Exploitation): 취약점 실행. 제로데이 또는 알려진 취약점
- 5단계 설치(Installation): 백도어, 루트킷, RAT(Remote Access Trojan) 설치
- 6단계 명령 및 제어(C2, Command and Control): 공격자가 감염 시스템을 원격 제어
- 7단계 목표 달성(Actions on Objectives): 데이터 유출, 시스템 파괴, 횡적 이동
유니파이드 킬체인(Unified Kill Chain)
전통적 킬체인 + MITRE ATT&CK를 통합한 18단계 모델입니다. 피벗팅과 내부 침투 단계를 더 상세히 다룹니다.
주요 APT 그룹 TTP
- APT29(Cozy Bear, 러시아): SolarWinds 공급망 공격. 장기 잠복. SUNBURST 백도어
- APT41(중국): 정부 스파이활동 + 금전적 목적. 게임 회사 소스코드 탈취
- Lazarus Group(북한): 금융기관 공격, 암호화폐 탈취. WannaCry 랜섬웨어
APT 탐지 회피 기법
- Living off the Land(LotL): 기존 OS 도구(PowerShell, WMI, certutil) 악용. AV 탐지 회피
- 메모리 내 실행(Fileless Malware): 파일 생성 없이 메모리에서만 실행. 포렌식 흔적 최소화
- 도메인 프런팅(Domain Fronting): CDN을 C2 통신에 악용. 합법적 도메인 뒤에 숨기
정보보안기사 기출 핵심 정리
- 킬체인 7단계: 정찰→무기화→전달→익스플로잇→설치→C2→목표달성
- APT = 특정 대상 장기간 집요한 공격, 국가 수준 자원
- LotL = OS 내장 도구 악용으로 AV 우회
- Fileless 악성코드 = 파일 없이 메모리에서만 실행
- APT29 = 러시아, APT41 = 중국, Lazarus = 북한