[KISA 한국인터넷 진흥원] 2019년 4분기 사이버 위협 동향 정리 (딥페이크, APT대응 한계, 위협헌팅, 2020년 7대 사이버공격전망)

[딥페이크] : AI를 활용하는 신규 사이버 위협 중 대표적인 것으로 특정인의 생김새와 음성을 학습시켜 진짜와 똑같은 가짜 영상(가짜 뉴스)를 만들 수 있는 기술   (딥러닝+Fake 인 듯합니다.)

- 날로 정교해지는 딥페이크 기술의 발전과 확산 (GAN의 악용으로 안면인식 우회, 가짜 뉴스로 사회 분란 유도)

 

- 공격형태 변경을 통해 2단계로 금전을 탈취하는 랜섬웨어 공격

- API가 클라우드 기반 위협에 가장 취약한 연결 부위로 드러날 것을 예상

 

 

[2020년 7대 사이버 공격 전망]

1. 일상 속으로 파고든 보안 취약점, 보이지 않는 위협

2. 랜섬웨어, 개인에서 공공기관, 기업으로 피해 확대

3. 취약한 가상통화 거래소, 반복되는 해킹 사고

4. 문자 메시지, 이메일 안으로 숨어드는 악성코드

5. 은밀하게 정교하게 진화하는 지능형 표적 공격

6. 모바일까지 확대되는 소프트웨어 공급망 공격

7. 융합 서비스를 노리는 새로운 보안 위협의 등장

 

 

[피싱메일 사례]

1. 고객 센터 안내 위장 메일

2. 첨부파일 위장 메일

3. 메일 열람 페이지 취약점

4. 악성코드가 포함된 첨부파일 열람 유도

 

[APT 공격의 대응 한계]

 

1. 고도화된 공격 기술 : 기존 탐지 체계 우회하는 다양한 기술과 보안 제품자체를 공격해 무력화 시키거나, 정상 프로그램을 통해 공격에 활용하는 Living Off the Land 방식 사용

2. 지속적/전략적인 공격 : 은밀하고 오랜기간 전략적 공격 수행

3. 타깃형 : 핵심 권한자 사용자 PC를 탈취하여 거점 확보한 후, 순차적으로 내부 주요 시스템 해킹

4. 전통적 보안 개념의 한계 : 알고 있는 정상 객체 허용 / 알고 있는 악성 객체 차단 / 알지 못하는 객체는 사전 정의된 정책에 따라 허용 및 차단 이라는 3가지 규칙은 공격자 기술 고도화로 한계

5. 네트워크 기반, 엔드포인트, 보안관제(SoC 및 SIEM 장비) 관점에서 ZeroDay 취약점 탐지율이 낮아지고 있음

-> 따라서, 위협 헌팅 개념이 나옴

 

 

[고도화된 사이버 위협 APT, Threat Hunting]

이미 알고 있는 패턴 또는 객체의 형태를 통해 차단 또는 허용 정책을 정하는 것이 하니라 데이터 분석을 통해 의심스런 행위 또는 위협을 찾아내고 추적하는 과정 및 행위

- Threat Hunting Loop : 분석가의 가설로부터 시작해서 가설을 검증하기 위해 데이터를 조사하고 새로운 위협의 흔적을 찾아 이를 추적하고 분석하는 과정

- Hunting Maturity Model : 조직의 위협 대응 수준을 나타내는 지표로 각 단계별 위협을 어떻게 찾아내는지 나타내는 위협 헌팅 성숙도 모델

 

- 위협 헌팅 관점에서 침해사고 탐지 과정

1. 가설(Hypothesis) 수립 : 해킹 경로 및 시나리오 가설 수립

2. 조사(Investigation) : 부모 프로세스 정보 확인, 실행시점의 권한 확인, 파일 및 레지스트리 I/O 정보 확인, 네트워크 접속 확인

3. 새로운 TTP 발견 : 새로운 공격자의 전술, 기술, 절차(Tool, Techniques, Procedures) 발견

4. 분석/추적(Analysis) : 가설 검증 단계, 메타데이터 분석, AI/머신러닝 기반 공격 페이로드 분석 등

- MITRE가 공개한 ATT&CK 데이터를 통해 위협 탐지 및 대응 활용

 

[추가 키워드]

개인정보 비식별화 사례

DevSecOps

DBD(Drive By Download)