A기업 (정유)

- Global 기업인 A사는 다수의 정보시스템을 운영하고 있으며, 정보통신망법상의 법적규제를 준수해야 하는 기업이기 때문에 매년 정기적 취약점 진단과 모의해킹을 전문업체에게 의뢰하고 있다.
- A기업의 연간 모의해킹 진단을 의뢰받아 수행하는 과정에서 APT공격에 대한 사회적 이슈가 커지면서 A기업은 APT대응 전용솔루션이 도입되어 있지 않아 뾰족한 대응방안이 없었다.
- A기업은 당사의 협력사와 협의하여 APT대응 전용솔루션을 단기간 임대하여 전사적 시스템을 대상으로 솔루션에서 탐지되는 APT공격을 분석하여 조치방안을 협의하였다.
- A기업의 전사 네트워크상의 단말 노드를 대상으로 APT 취약 현황을 점검 및 조치방안 수립 - 어떤 APT대응 전용솔루션의 경우 너무 많은 탐지정보를 알려주기 때문에 실질적인 대응이 곤란해지는 과탐지 또는 오탐지의 문제점도 있기 때문에 대응에 적합한 전용솔루션을 활용함으로써 실질적인 효과를 얻을 수 있도록 하였다.
- APT공격 위험성이 존재하지만 대응솔루션이 도입되어 있지 않거나 도입비용 부담이 큰 기업이나 기관에게 효과적인 방법이 될수 있다.

A기업 - 2014년, 1개월

• 비즈니스 및 IT 환경

- 고객사는 전국으로 분산되어 있는 조직으로 제조, 정유, 물류, B2C, B2B 등 다양한 업무를 수행하고 있어서 일괄적인 IT정책 및 보안정책을 적용하기 어려운 환경이다.
- 고객사의 네트워크 환경은 전국망을 운영하고 있으며, 본부의 백본스위치를 경우하여 인터넷을 접속하는 네트워크 구조로 구성되어 있다.

• 정보보호 환경

- 전국적으로 분산된 A기업은 단위 조직별 업무환경이 상이하여 다양한 종류의 PC운영체제를 사용하는 환경이어서 APT공격과 같이 PC와 같은 단말기에서 발생하는 보안위협에 적극대응이 쉽지 않은 환경이다.
- 각 PC 등의 단말기에는 바이러스 백신을 의무 설치하는 정책을 운영하고 있으며 네트워크상의 바이러스월을 운영하여 네트워크와 PC단말기상에서 바이러스 등의 악성코드에 대응하고 있으나 바이러스백신이 탐지하지 못하는 Zero-day공격 등에는 실질적인 대응이 이뤄지지 못하고 있다.
- 또한, 전국망으로 내/외부 업무 서비스를 제공하고 있으나 망분리가 구축되어 있지 않기 때문에 본사의 보안통제의 사각지대에 있는 조직에서 악성코드가 감염되어 전국망에 확산될 경우 심각한 위험에 놓일 수 밖에 없는 구성으로 되어 있다.

- A고객사의 현황에 적합한 APT대응 전용솔루션을 임대하여 고객사 네트워크 구성과 회선속도를 고려하여 본부의 백본스위치에 TAP으로 설치하였다.
- APT대응 전용솔루션은 백본 네트워크에 위치하여 3주간의 In/Out 패킷을 모두 수집하여 내부 엔진에서 제공하는 탐지기준에 따라 운영했다.
- In/Out 패킷들에서 외부 C&C서버와 통신되는 단말기 등 탐지된 악성코드의 오탐지 또는 과탐지를 식별하기 위하여 다양한 관점에서 분석된다.
- 단순한 도메인/URL 정보에 기반한 탐지 뿐만아니라 DNS 정보를 기반의 DGA, Fast flux까지 탐지함으로써 탐지의 정확성을 고려하였다.
- ATP공격에 감염된 PC단말기가 식별되면 확인된 C&C서버의 접속차단을 위해, DNS 싱크홀 및 TCP Connection 차단으로 추가적인 감염확산을 차단하도록 하고, 탐지된 C&C 서버의 리스트를 기반으로, 방화벽/IPS등의 차단장비에서 관련 보안정책에 적용하도록 하였다.
- 3주간의 APT탐지결과와 조치방안을 정리하여 감염된 PC 현황, 탐지된 C&C서버주소, 감염된 악성코드분석 상세결과 등의 APT진단 보고서를 제공하였다.

• 다양한 형태의 APT공격에 대한 오탐지 또는 과탐지를 배제한 정확도가 높은 APT대응 전용 솔루션의 선정
• 자동화된 솔루션의 한계를 극복하여 실질적이고 정확한 APT취약성 현황을 제공하기 위하여 전문 엔지니어가 솔루션의 결과물을 분석
• 필요시 연 2회(상, 하반기)에 걸친 반복적인 수행과 대응

수행단계별 산출물 목록표는 아래와 같다.

* 산출물 예시: APT취약성 분석 결과보고서