APT 공격은아직까지명확한개념정의가이루어지지않았지만, 일반적으로특정한목표대상에대해취약점을파악하고다양한방법을이용한지속적인공격활동으로정보탈취, 시스템파괴등의손상을입히려는새로운공격형태를의미한다. 위키피디아 (Wikipedia) 에서는사이버공격이지능형 (Advanced), 지

Size: px

Start display at page:

Download "APT 공격은아직까지명확한개념정의가이루어지지않았지만, 일반적으로특정한목표대상에대해취약점을파악하고다양한방법을이용한지속적인공격활동으로정보탈취, 시스템파괴등의손상을입히려는새로운공격형태를의미한다. 위키피디아 (Wikipedia) 에서는사이버공격이지능형 (Advanced), 지"

민준 최
6 years ago
Views:

1 APT 공격에대한 E-DRM 기반의효율적대응방안 Ⅰ. 서론 최근들어사이버공격은바이러스나웜 (worm) 과같이구조가단순하면서도순식간에대량의컴퓨터를오염시키는원소스멀티타깃 (one source multi-target) 의형태에서한개의목표를향해지속적이면서다양한공격기술을구사하는멀티소스싱글타깃 (multi-source single target) 의형태를갖는 APT(Advanced Persistent Threat, 지능형지속위협 ) 공격으로옮겨가고있다.

2 APT 공격은아직까지명확한개념정의가이루어지지않았지만, 일반적으로특정한목표대상에대해취약점을파악하고다양한방법을이용한지속적인공격활동으로정보탈취, 시스템파괴등의손상을입히려는새로운공격형태를의미한다. 위키피디아 (Wikipedia) 에서는사이버공격이지능형 (Advanced), 지속성 (Persistent), 위협성 (Threat) 이라는특징적요건들을충족하면 APT 공격인것으로간주하고있다 (Command Five, 2011a). 스턱스넷 (Stuxnet), 듀크 (Duqu) 등과같이오랜시간을두고국가제어시설을공격하여목표시스템을파괴하는것도 APT 공격에해당한다. APT공격의대표적사례로는 SK 커뮤니케이션즈고객정보탈취사건 (Command Five, 2011b), 소니 (SONY) 고객정보탈취사건, 농협서버작동중지와시스템파괴사건, EMC RSA 원격제어사건, 구글오퍼레이션오로라 (Operation Aurora) 소스코드탈취사건 ( 한국인터넷진흥원, 2012) 등이있다. 기존의공격이무작위적인목표를대상으로한기술과시적인화이트해커 (white hacker) 의성격이강하였다면, APT 공격은분명한목표를두고국가기간시설의파괴나서비스기업의고객정보혹은재무정보의탈취와같은블랙해커 (black hacker) 의성격이강하다는점에서차이가있다. 미국의오바마대통령이 2012년 7월에월스트리트저널 (Wall Street Journal) 에 사이버공격위협 (Cyberattack Threat) (Obama, 2012) 이라는제목으로기고한것은이러한공격이결국은국가적인재앙을불러올수있다는우려때문이다. 이전의사이버공격이독립적이고개인적인수준에서실행되었다면, APT 공격은다수의전문가들이참여하는팀워크수준의공격이라는점에서구분된다 ( 한국인터넷진흥원, 2012). APT 공격은 1공격목표가국가기관및국방관련조직으로부터민간기업으로확대되고있다는점, 2동원되는공격기술이종합전투형태를띠고있어현재로서는뚜렷한방어기술이없다는점, 3인터넷을이용하는특성상범죄집단을처벌하기어렵다는점, 그리고 4 APT 공격방법과기술이일반화되면서손쉽게인터넷을통해확산되고있다는점때문에보안업계의관심사가되고있다. 최근의 APT 공격사례에서볼수있듯이, APT 공격의목표는이미국가기관이나국방관련조직에서민간기업으로옮겨가고있고인터넷을사용하고있는모든조직이대상이된다는점에서심각한문제로여겨지고있다. 보안에대한인식과기반이상대적으로취약한민간기업은 APT 공격에의한지속적인위협이있어도이를인지하지못할가능성이높으며방어능력도미비하여이로인한기업기밀의누출과피해확산의위험성이높다. 더구나화이트해커에의해만들어지고배포된바이러스나웜 (worm) 은대부분단순한구조로시그니처

3 (signature) 1) 분석이나네트워크패킷분석과같은방어기술이개발되어있지만, APT 공격은일정한패턴없이다양한공격방법을사용하기때문에아직까지는뚜렷한솔루션과대책이없다 ( 노동균, 2012; 한국인터넷진흥원, 2012). 또한초국가성, 시공간의초월, 익명성, 네트워크화라는인터넷의특성으로공격자에대한추적과신원파악및체포는대단히어렵다. 다양한루트를통해여러단계에걸쳐공격목표에접근하고공격흔적을지움으로써공격시점에모든자원을동원한빠른추적이아닌이상에는공격자추정조차어렵다. 최근에는 APT 공격을한후에원격조정봇 (bot) 을심어두고봇 (bot) 을임대해주는비즈니스까지생겨나고있다 (Wikipedia, 2012; Hackforums, 2012). 이에보안인력과인프라가구비되지않은중소규모의정부조직이나민간기업은내부인력의보안교육을강화하고새로운보안패치를신속하게설치하며통신망을분리하는방안외에는별다른효율적인대안이없다 ( 한국인터넷진흥원, 2012). APT와같은새로운공격형태가일반화되는경우에공격에따른피해는엄청난경제적인손실과사회적비용을초래하게된다. 개인정보보호법제정등관련정책및제도의마련과정부의홍보로사이버공격에대한사회적인인식과 APT 공격에대한사회적인경계심은높아지고있지만, APT 공격에대응하기위한현실에는보다적극적인준비가필요하다. 본고에서는 APT 공격의사례분석과이를막기위한처방책및기술을조사한후에암호화와접근제어에기반을둔대응방안에대해논의하고자한다. 이를위해 2장에서는 APT 공격의사례를중심으로공격절차와유형및대응방안을고찰하고, 3장에서는본고에서제안하고있는 E-DRM(Enterprise Digital Right Management) 기반의방어기술을소개하며, 4장에서는본고에서제안하는기술의장점과단점에대해논의한다. Ⅱ. APT 공격의사례와특징 APT 공격의사례로는일반적으로구글오퍼레이션오로라 (Operation Aurora) 의소스코 드탈취, EMC RSA 의원격제어, 농협의시스템파괴, SK 커뮤니케이션즈의고객정보탈취, 스턱스넷 (Stuxnet) 공격등이언급되고있지만, 본고에서는구글오퍼레이션오로라 1) 침입탐지및침입방지시스템등의정보보호솔루션에서해킹이나취약점, 웜바이러스, 유해트래픽등을탐지 차단하기위해적용하는정규화된패턴을의미한다.

4 (Operation Aurora), EMC RSA, SK 커뮤니케이션즈에대한공격사건을소개하고중요한 특징과기존공격과의차이점에대해논의하도록한다. 오퍼레이션오로라 (Operation Aurora) 는 2009년중반부터 2009년 12월까지장기간에걸쳐보안및국방관련기업에침투하여공격하였다는점에서 APT 공격의전형적인요소를모두가지고있다고평가된다. 공격자는목표기업의직원들이신뢰하는사람의메일을도용한피싱 (phishing) 으로시스템에침투하였다. 메일속에는당시에알려져있지않았던인터넷익스플로러 (MS IE) 의취약점을공격하는악성자바스크립트를가진코드가들어있었다. 해당악성코드는일단연결이되자목표시스템서버의 TCP포트 443을이용하여타이완에위치한공격자의 C&C 서버 (Command and Control Sever, 명령통제서버 ) 로연결되었다. 목표시스템의내부와연결된후에공격자는내부취약점을사용하여방화벽이나다른보안장벽을통과하여 SCM(Software Configuration Management, 소프트웨어구성관리 ) 에접근하였다. 미국의보안기업이나국방관련시스템은보안이잘되어있지만 SCM은상대적으로보안이취약하여소스코드 (source code) 들이 C&C 서버로빠져나가기시작하였다. 그리고서버들은 homelinux.org, ourhobby.com, servebeer.com 등과같은서버도메인을갖고있어추적이불가능했다 (Binde et al., 2011). 구글은 2010년 1월에처음으로소스코드유출사실을공개하였다. 결과적으로공격자는 APT 공격의목표를달성한것으로판단된다. 공격자를추적한결과, 상해교통대학과란상직업학교라는두개의집단이나왔는데이중에서란상직업학교는구글과경쟁하고있는중국의바이두 (Baidu) 와밀접하게연관된것으로추정되고있다 (Binde et al., 2011; Command Five, 2011a). EMC RSA 에대한공격은 RSA 사업본부내부에있는두개의작은팀에게이틀에걸쳐 피싱메일을보내면서시작되었다. APT 공격은대체로마이크로소프트오피스 (Microsoft

5 Office) 나어도비리더 (Adobe Reader) 의취약점을이용하는경우가많으며, EMC RSA의경우에는엑셀스프레드시트 (MS Excel Spreadsheet) 에들어있는어도비플래쉬 (Adobe Flash) 의취약점을이용한제로데이 (zero-day) 공격 2) 을하였다. 제로데이공격은시스템의취약점이발견되다해도대응솔루션이배포되지않은동안에는사용할수있다. 공격자는엑셀스프레드시트를통해희생자 (victim) 의워크스테이션에접근하고트로이목마바이러스인포이즌아이비 (Poison Ivy) 를감염시켜 RAT(Remote Access Toolkit, 원격접근툴킷 ) 를설치하였다. 이 RAT는클라이언트로부터공격자의 C&C 서버 TCP포트 3460으로연결되었고공격자는이를통해파일을찾기도하고희생자컴퓨터의열린포트를통해작동되고있는프로세스를조사하기도하였다. 공격자는희생자화면에뜬스크린을찍기도하고 (screen shot), 패스워드해쉬값 (hash value) 을모두전송해받기도하고, 네트워크송수신을전송하거나심지어마이크를연결하기도하였다. 또한은밀히내부자원에접근하여내부의다른컴퓨터나다른사용자의계정 (account) 에접근하였다. 내부의중요한데이터는압축하여 RAT 파일로저장해놓았는데, 이파일들을중간에있는호스트로옮기고결국은원격 C&C 서버로옮긴것으로확인되었다. EMC RSA 회장은 2011년 3월에 APT 공격을당했음을공식적으로인정하였다. SK 커뮤니케이션즈의사건은 APT 공격의전형적인패턴을보인다 (Command Five, 2011b). SK 커뮤니케이션즈는 2011 년 7 월 26 일에해킹을당해 3 천 5 백만명의사용자정보 가유출되었다고발표하였지만, 공격의시작은이보다최소 6 개월이전부터준비된것으로 파악되고있다. 공격자는압축도구인알집 (Alzip) 을공급하고있는이스트소프트웨어 (East Software) 의 알집업데이트서버를공격하여 SK 커뮤니케이션즈의컴퓨터가알집업데이트를위해알집 서버에접속했을때트로이목마프로그램을다운로드받도록하여서버컴퓨터들을감염시켰 다. 트로이목마프로그램은알툴 (AL tool) 프로그램의업데이트를위해주기적으로체크를 하는어플리케이션 (AL tools Common Module Update Application; ALCMUpdate.exe) 의 취약점을공격하는프로그램으로, 악성 DLL(Dynamic Linking Library) 파일 3) 을서버컴퓨 2) 운영체제 (OS) 나네트워크장비등핵심시스템의보안취약점이발견되고이를막을수있는패치가발표되기도전에그취약점을이용한악성코드나해킹을감행하는공격 3) 운영체계 (OS) 본래기능으로소프트웨어의루틴을몇개의파일로나누어디스크에두고필요한것만을

6 터에서작동하도록한것이다. 이트로이목마프로그램으로 60여대의 SK 커뮤니케이션즈서버들이감염되어공격자가시스템에몰래드나들수있는통로인백도어가설치되었다. 4) 백도어프로그램이설치되자 TCP포트 8080을통해원격으로 C&C 서버와통신을하게되었다. 공격자는감염된컴퓨터에몰래숨겨설치한툴박스 (tool box) 를통해 2011년 7월 18일부터 25일까지 x.exe, nateon.exe, rar.exe 등의실행파일을작동시켜데이터베이스에접근하기위한정보를수집하고원격조정을수행하였다. 수집된정보를바탕으로싸이월드와네이트의사용자데이터베이스에접근하여 26일부터 27일까지사용자정보를전송하였다. 이상의사례를통해서 APT 공격이기존의공격과는상당히다른것을이해할수있다. APT 공격은지능화, 우회성, 지속성이라는특징을갖추고있다 ( 한국인터넷진흥원, 2012; Command Five, 2011a; Dell Secure Works, 2012; The 451 Group, 2012). 첫째, 목표가허술한보안영역을탐색하여집중적으로공격하는가하면사람의심리를이용한사회공학적기법까지포함하고있어지능적공격이라고할수있다. 둘째, 기존의보안솔루션을우회하여지속적으로 1차타깃을접근, 공격에성공하면이를거점화하고실제공격을시작한다는점에서우회적이다. 인간은보안체계 (security chain) 속에서가장중요하면서도약한부분으로, APT 공격에서는목표를정한후에목표와관련된사람들이사용하는소셜네트워크서비스 (SNS) 나이메일등을활용하는사회공학적방법을통해공격을시도하는것이일반화되어있다. 일례로, 국방관련조직의실무자에게수신된 국방융합기술 제목의한글첨부파일, 국내기업실무관리자들에게수신된 연봉계획서 제목의워드첨부파일등과같이제로데이공격의취약점을이용하여악성코드가설치된사례가발견되었다 (AhnLab, 2012). 더구나최근에는문서파일을열람하기만해도문서편집프로그램이나뷰어프로그램이작동하면서백그라운드에서악성코드들을설치하는기술이사용되 실행메모리에실어서사용하기위한파일 4) Backdoor.Agent.Hza 가설치

기시작하였다 ( 노동균, 2012). 결국리버스커넥션이나 C&C 서버접속과같은네트워크통신과함께개인정보혹은기업기밀이유출될수있게된것이다. 셋째, 오퍼레이션오로라공격, EMC RSA 공격, SK 커뮤니케이션즈공격에서보여지듯이일회성이아니라장기간에걸쳐지속적으로은밀하게정보를수집한다.

7 기시작하였다 ( 노동균, 2012). 결국리버스커넥션이나 C&C 서버접속과같은네트워크통신과함께개인정보혹은기업기밀이유출될수있게된것이다. 셋째, 오퍼레이션오로라공격, EMC RSA 공격, SK 커뮤니케이션즈공격에서보여지듯이일회성이아니라장기간에걸쳐지속적으로은밀하게정보를수집한다. 맥아피 (McAfee) 에의해명명된오퍼레이션쉐이드랫 (Operation Shady RAT) 공격은 5년 6개월걸쳐조직적으로침해사고가발생하였으며피해가발생한조직도 72개에이른다. 장기간에걸쳐치밀하게준비되고지속적으로감시하거나기다리면서공격을감행한다는점에서기존의사이버공격과크게차별화된다. APT 공격은전세계정부기관을상대로기밀탈취를시도하였고, 글로벌오일기업과에너지, 석유기업, 광산업분야, 재무투자관련기업, 국방관련기업과과학기술분야기관, 중요한인프라사업자를목표로공격이시도하고있다 (Command Five, 2011a). 국방기관이나에너지기업은국가적인차원에서관리가필요하고실제적으로관리가이루어지고있는분야이다. 오퍼레이션오로라공격은제로데이공격을위한소스코드를탈취하기위한시도였을것으로추측하고있으며, EMC RSA 공격은미국국방성과관련된기관들의인증을획득하기위한공격으로의심하고있다 (Command Five, 2011a). 최근들어 APT 공격의목표가금융이나서비스산업등으로확대되고있다는점에서중요한변화가오고있다고본다. 즉, 신용카드데이터와은행구좌정보, 산업정보 ( 특허나기술

8 사양, CAD 도면과같은기술정보 ), 국방관련정보, 영업기밀, 시장정보와고객정보, 소스코드, 제조정보와계획등의데이터를목표로하고있다는점에서민간기업이긴장하고있으며대비책을찾기위해분주히움직이고있다 (RSA, 2011). 구체적으로 EMC RSA 보고서에서는방송통신분야, 주요인프라시설, 국방산업, 재무서비스산업, 전세계정부기관, 석유및가스산업, 오라인게임산업, 마케팅서비스산업, 보안산업, 기술산업을중요목표물로보고있다. 일례로, 영국 RBS 은행의월드페이 (world pay) 시스템공격사건을보면, 해커들은 2008년에 RBS 은행의시스템에침투하여신용카드정보를훔쳐서복제카드를만들고신용카드한도를올려서 12시간동안미국, 러시아, 우크라이나, 에스토니아, 이탈리아, 홍콩, 일본및캐나다등전세계 2,100여개의 ATM기기에서약 950만달러를인출한후에시스템데이터를파괴하였다. 출처 : 대검찰청, 농협서버작동중지와시스템파괴사건은 APT 공격이더이상국방분야, 혹은국가기간시설에국한되는것이아니라금융이나기업과같은민간기업을대상으로이루어질수있음을보여주는사례이다. 2011년 4월 12일에농협전산망서버 587대중 273대서버가디스크손상을입었고웹서버 98대중 45대, 내부서버 440대중 180대, 테스트서버 49대중 48

9 대가피해를입었다. 재해복구용서버마저파괴되어백업기능이마비되어농협은 2주동안정상영업을하지못하였고신용카드서버가작동을멈추어서신용카드가맹점의데이터가유실되기도하였다. 이 APT 공격은농협의외부하청업체의노트북을통해심어진악성코드로부터시작되었다고보고있다. 웹하드사이트의업데이트프로그램으로위장한악성코드가유포된것이었고감염된노트북중한대가농협시스템관리자인것을알게된해커는 7개월동안노트북을모니터링해서공격을감행한것이었다. 보안업계와민간기업이더욱긴장하는것은조직범죄그룹이나핵티비스트 (hacktivist) 들이 APT 공격에사용되는기술과유사한기술을쉽게가질수있기때문이다. 신용카드데이터를습득하거나탈취하는것을넘어서서디지털자산이라고할수있는지적재산권관련정보 ( 산업비밀 ) 나임무수행에필수적인정보 (mission-critical data) 를탈취하는것으로확산되고있다 (RSA, 2011). APT 공격을손쉽게만드는요인으로는소셜네트워크서비스 (SNS: Social Network Service) 의확산이있다. 페이스북 (Facebook), 트위터 (Twitter), 링크트 (Linked) 등의개인네트워크연결이확산되면서기업이나기관의이메일주소와개인정보를수집하기가이전보다휠씬쉬워졌다. 더구나페이스북과같은소셜네트워크서비스는오픈플랫폼 (open platform) 이기때문에한사람을통해서몇단계를걸치면탐색 (search) 기능만으로손쉽게목표로하는개인, 그룹, 혹은연결된그룹을찾아낼수있다. APT 공격에대한대응이이처럼시급함에도불구하고현재까지의전통적인대응방법으로는적절한대처가어렵다는것이보안업계의고민이다. 방화벽이나진화된새로운방화벽기술, 안티바이러스기술, 침입방지시스템 (IPS: Intrusion Prevention System), 웹게이트웨이 (Web Gateway) 등이아직도중요한방어수단으로사용되고있지만 APT 공격을막기에는역부족이다. 기존의방어기술들이대부분블랙리스트 (blacklist) 나시그니처 (signature) 에기반을두고있기때문에제로데이취약점을이용하는역동적인공격에는효과적으로대처할수없다는것이다 (Five Eye, 2012). 기존의방어방법, 예를들어안티바이러스기술이나침입방지시스템, 웹게이트웨이와같은방식들은 이미알려진 리스트와지문에의존하고있기때문에새로운유형의공격이나변형된공격, 특히아직알려지지않은공격에대해서는

10 적절하게대응할수없다 (The 451 Group, 2012). 현재 APT 대응방법으로는 1탐색 (detection), 2사이버공격의주기적인관점에서예측, 3포렌식데이터 (forensic data) 수집등이있다 (Five Eye, 2011). 시만텍 (Symantec) 의평가 (evaluation) 기반 APT 방어방식은악성파일을추적 분석하는것이아니라, 모든실행파일에대해안전등급을실시간으로부여하여이를통해사용자들은평가 (evaluation) 정보를참고하여파일실행이나프로그램설치여부를결정하도록하고있다. 안랩에서는악성파일행위분석기술인 DICA(Dynamic Intelligent Contents Analysis, 지능형콘텐츠분석 ) 을개발하여방어기술로제안하였는데, 이는가상머신 (virtual machine) 에서직접실행해워드, 한글, PDF 등일반파일에숨겨진악성쉘코드 (malicious shell code) 를탐지하도록하는방식이다. 파이어아이 (Fire Eye) 에서개발한기술도가상실행엔진을사용한다는점에서안랩방식과유사하다. PC와응용프로그램환경을가상으로구현할수있도록하여유입된악성코드가어떤악의적인작동을하는지분석함으로써악성코드를판별하도록하는방식이다 (Fire Eye, 2012). 기존의바이러스, 웜, 외부침입등에대한탐색은대부분사전에알려진프로그램의특징 (signature) 에기반을두고있다. 파일의길이나속성, 출발지와경유지등의정보를바탕으로 악성 과 양성 을판단하는것이다. 그러나 APT 공격은이러한뚜렷한특징이없기때문에기본의시그니처를사용할수없어평가 (evaluation) 나가상머신실행을통해악성과양성을판단하려는것이다. 우리나라보안전문정부기관인한국인터넷진흥원 (KISA) 은 APT 사례분석을통해 시그니처차단방식은악성코드를탐지, 샘플을취득하고, 해당악성코드를구분해차단할수있는시그니처를제작, 배포함으로써악성코드를탐지하는방식이다. 그렇지만새로운신종및변종바이러스가기학급수적으로증가, 초단위로시그니처를제작해야하는현실을감안하면시그니처방식의한계는뚜렷하게나타난다 고지적하고있다. 결론적으로현재로서는 APT 공격에대응할수있는효과적인방법은없다는것이전문가들의판단이다. 수차례언론에보도된것과같이 은밀히진행되는 APT 공격을사전에완벽히방어하는것은불가능 하다는것이결론이다 (Damballa, 2012; Daly, 2009; The 451 Group, 2012). EMC RSA 보안팀보고서는 APT 공격에대해기존에갖고있던 모든것을방어 하겠다는개념을버리도록권하고있다. 보안팀은중요하고꼭필요한정보 (critical information) 와

11 시스템방어에만초점을두어야한다고권고한다 (RSA, 2011). 뚫을수없는시스템은없다는것을염두에두고자신이관리하고있는시스템이이미공격을당했다고가정하고방어하는것이더합리적인방어의기본자세라고한다. 따라서성공적인보안개념은 공격자를몰아내는것 이아니라 공격자가시스템에침입해들어왔을때이를탐지하고피해를최소화하는것 이라고규정하고있다 (RSA, 2011). Ⅲ. E-DRM 기반의대응기술 본고에서는일반적인 APT 공격대응방안, 예를들면어플리케이션소프트웨어 (application SW) 를가상시스템에넣어서동작을테스트한후에설치하는방식, 사용자에의한평가후에설치하는사후방식, 또는관련종사자들의의식교육과같은예방적조치가아닌실제 APT 공격을당하더라도안전할수있는보다근본적인방식이필요하다는인식에서출발한다. 새로운방식의 APT 대응기술을탑재한업무시스템인 DSR 제품을개발하기위해다음과같은요구사항이반영되었다. 1 요구사항-1: 문서가유출되더라도제3자에의해사용할수없도록최대한암호화하여야한다. 2 요구사항-2: 업무시스템에서필요한검색기능을사용할수있도록업무서버시스템에서평문화를최소화하여야한다. 3 요구사항-3: 암호화된문서의사용은권한을가진사용자에의한읽기, 편집, 인쇄, 이메일전송, 사내회람등의불편이없도록해야한다. 4 요구사항-4: 내부의악의적인정보유출과외부 APT 공격에의한유출을모두고려하여시스템을설계하여야한다. 5 요구사항-5: 인터넷환경에서의 CS(Client Satisfy) 지원은물론모바일업무환경을지원할수있어야한다. APT 공격에의한피해를최소화하여야하지만업무시스템에서요구하는 업무편의성

12 과의균형을맞출필요가있고사용자기기에서의편의성역시중요한고려사항이된다. APT 공격방어에있어암호화와접근제어가가장근본적이고, 저비용고효율의솔루션이라고볼수있다. 한국인터넷진흥원에서 2012년 7월에발간된 APT 공격특성분석및예방계율 10계명 에서는 암호화와데이터유출방지 와같은기술을도입하도록권고하고있다 ( 한국인터넷진흥원, 2012). 암호화와접근제어가가장근본적이고확실한방어대책이라는주장은현재까지모든전자상거래와기밀유지가암호화로이루어졌다는점에서설득력을가진다. 그동안 DES(data encryption standard, 데이터암호화표준 ) 와같은 64bit( 실제로는 56bit) 알고리즘의경우에암호키값을찾아내는크래킹 (cracking) 이 EMC RSA 연례회의에서선보이고있지만, 1024bit까지확장된현재의 AES(Advanced Encryption Standard, 고급암호화표준 ) 알고리즘같은암호화의경우아직까지는해독된적이없다. 현재로서는군사기밀유지와금융기관의통신수단으로사용되고있는암호화방식이가장확실한보안방법이라고할수있다. 일단암호화되고나면, 그정보가도난당하던지, 잘못놓이던지, 잃어버리던지, 잘못사용되던지보호될수있다 (Once you've encrypted information, whether that information is stolen, misplaced, lost or misused, it's protected as long as it's encrypted) 는크리스페데 (Chris Fedde) 의주장에따르면, 암호화와접근제어가 APT 방어에있어가장효과적인해결책으로보인다 (Roman, 2011). 암호화와접근제어기술은데이터전달을위해양측이안전하게정보를전달하도록개발된것이지만, 이제는저장된정보 (at rest) 의보안에사용되고소니의경우에신용카드번호는암호화하면서개인 ID 정보를담은파일은암호화하지않았기때문에고객정보유출과같은사건이생겨날수있었다는것이다. 현재대부분의업무시스템은협업 (collaboration) 과정보공유를통한업무효율증대가도 입목적이기때문에검색 (search) 기능이중요한기능으로내재되어있다. 예를들어, 사내의

13 문서공유를위해도입하는 EDMS(Electronic Document Management Systems, 문서관리시스템 ), 그룹웨어 (Groupware, 전자결제시스템 ), 포털 (Enterprise Portal, 기업포탈 ), ERP (Enterprise Resources Planning, 전사적결제시스템 ), PLM(Product Lifecycle Management, 제품수명주기관리 ), CAD(Computer Aided Design, 제품설계시스템 ) 등과같은업무시스템들을암호화하는경우에탐색이어려워지기때문에평문으로보관하되, 접근제어를강화하여 APT 공격에의한피해를줄여야한다. DSR을개발함에있어가장중요한고려사항중의하나는접근제어기능이다. 요구사항-2 와마찬가지로보안시스템자체가업무를지원하기위해도입되기때문에보안수준을높이면서사용자편의를최대한지원할수있어야한다. 접근제어는서버컴퓨터의접근제어와사용자기기의접근제어로나누어볼수있다. 서버접근제어는원격지에서도강력한사용자인증을통해서버에접근할수있도록하고, 일반사용자기기에서는문서의읽기 사용기간 저장 출력 전송 붙여쓰기등의기능을제어할수있도록해야한다. 암호화를통해보안수준을높이되허가된사용자의접근은최대한허용하여사용자의편의성을제고할수있어야한다. APT 공격에의한정보의외부유출도심각하지만정부기관과기업내부에서악의적인유출도심각하다. 최근국내의기술유출이외부침입보다는내부의악의적인유출에의해이루어지고있다는점에서내부유출방지기능역시심각하고중요하다. DSR의설계에서는이점을고려하여사용자들이생성한문서를암호화하고, 통제 (control) 하며외부유출을방지할필요가있다. EMC RSA 사례를통해서본것처럼 APT 공격에서는원격접속프로그램을통해외부에설치된 C&C 서버에의해내부사용자의 TCP 해쉬값을비롯한 transaction data와 microphone까지작동이가능하거나도청이가능하다. 내부의거점 (foothold) 컴퓨터에심어진원격제어프로그램을통해프로그램이나데이터의유출, 도청이나화면저장등여러가지작업이가능하다는점에서사용자기기의제어가중요한방어기술이된다.

14 지금까지발견된 APT 기술은주로데스크탑 (PC) 혹은서버에서이루어졌지만, 이미많은업무가모바일을통해이루어지고있고, 짧은시간안에대부분의업무가스마트기기로옮겨갈것이라는예측을감안할때모바일업무시스템을지원할필요가있다. 문서를암호화하는경우에 APT 공격에의해유출되더라도키 (key) 값을갖고있지않기때문에제3자에의해사용이불가하지만, 사내의문서전달과사용에많은문제점을야기시킬수있다. 즉, 서버와사용자컴퓨터에저장된문서를암호화하고, 이동하는모든데이터를암호화한다면 APT 공격을근본적으로막을수있으나사내의업무시스템 ( 그룹웨어 (Groupware), ERP, EDMS, PLM, 이메일시스템등 ) 에는대부분협업과정보공유를위해검색 (search) 기능이탑재되어있기때문에현실적으로서버에저장된데이터와문서를모두암호화하기는어렵다. 그러나사용자컴퓨터혹은기기에저장된정보에대해서는암호화가가능하기때문에사용자에의해생성된자료와업무시스템을통해전달받거나다운로드받은중요한정보는모두암호화하려는것이 E-DRM 접근방식이다. E-DRM 방식은유통되는모든파일을암호화하고사용자컴퓨터에서사용자의권한에따라복호화된데이터의사용을제어하는방식으로동일한파일을전달받더라도사용자A는파일을읽고출력을할수있지만, 사용자B는읽기만가능하고자신의컴퓨터에저장하거나출력을할수없도록기술적으로강제하는방식이다. 또다른자료유출방지기술로서는현재 DLP(Data Loss Prevention) 방식이있는데 ( 성재모외, 2011; 정영철, 2011), DLP 방식은사용자의컴퓨터혹은네트워크를통해서전달되는데이터를체크하여사전에입력한민감한데이터의패턴과일치하거나유사한경우에이를감지 (detection) 하여조치 (enforcement) 를취하는기술이다. 데이터유출방지를위해서는매체제어, 패킷통제, 프로그램실행통제, PC 통제등의기능을수행한다. DLP 기술과 E-DRM 기술은원래조직내부의중요한정보를유출하지못하도록하는내

15 부보안기술로개발되었다. 즉, 기업의경영현황이나시장계획, 신제품개발도면, 경쟁사분석등의중요한정보를외부로유출하지못하도록개발되었다. 그러나최근개인정보보호와 APT 공격이사회적인이슈로떠오르자기존의내부정보유출방지기술이개인정보유출방지솔루션과 APT 대응기술로자리잡고있는것이다. DLP방식과 E-DRM 방식의가장큰차이점은 DLP 방식이내용검색과강제적인전송방지에의존하고있는모든문서 ( 업무서버와사용자기기 ) 를평문으로보관하는데비해, E-DRM 방식은암호화와접근제어에의존하기때문에서버와사용자기기에서모두암호화하여저장한다는점이다. 그러나최근 DLP 기술은내용검색을통해사용자기기에서중요한자료를암호화하고, E-DRM 기술은업무서버에저장된자료를평문으로유지하면서두기술이점차같은방향으로발전하고있다. 기존의 E-DRM 기술은온라인환경에서개발되고사내비즈니스유통시스템에의존하고있어, 최근의스마트폰이나스마트기기에의한문서의작성이나전송처리를통한유출 ( 요구사항-4, 요구사항-5) 을막기에적절하지않았다. 따라서이제스마트기기에의한이동업무 ( 모바일워크 : mobilework) 환경에적합하도록새로운아키텍처 (architecture) 를제안하고자한다. 본고에서는제안하고있는 APT 방어기술은암호화와접근제어를기반으로하는기존의 E-DRM 기술에 DLP 기술이가진내용검색기능을추가한새로운방식의정보유출방지기술이다. 이는기존의 E-DRM 기술로정보유출차단이효율적으로이루어져왔지만, 서버에서보안정책 (security policy) 을부여하고이를사용자컴퓨터에서제어하면서생길수있는보안의허점을보완할수있다는점에서보안성이향상된접근방법이라고할수있다. 즉, APT 공격에대응할수있도록설계개발된 DSR 시스템은기존의 E-DRM 시스템위에내용검색모듈을통합한시스템으로사내의다양한서버시스템과사용자기기를통합운영하도록설계되었다.

16 < 그림 3> 에보는것과같이 DSR 시스템은기존의업무서버시스템군과 DSR 서버, 그리고사용자기기로이루어진다고가정하고있다. 이같은시스템의구성은현재대부분의정부기관과산업현장에서사용하고있는시스템의구성으로일반적인시스템구성도라고할수있다. 새로운 E-DRM(enhanced E-DRM) 기술을사용하는 DSR 시스템에서는업무서버의자료는평문으로유지하고, 사용자기기의문서나정보는선별적인암호화를하도록설계되었다. APT 공격의의한정보의유출은 EMC RSA, SK 커뮤니케이션즈, 농협의사례에서와같이서버와사용자컴퓨터어느쪽에서도발생할수있다. 실제 APT 공격을받은사용자기기가얼마나되는지통계가나와있지않지만사용자자신도모르는정보유출이상당히있었을것으로추측되고있다. 따라서서버와사용자기기모두암호화를강제하는것이가장좋은대안이지만, 현실적으로업무시스템도입의목적이정보공유와협업증진이기때문에업무시스템에서의탐색 (search) 기능을지원하기위해서는서버에저장된문서를평문으로유지할필요가있다.

17 업무서버와 E-DRM 서버는암호화를통해서문서를전달하거나 download, upload하도록하고있다. 다운로드의경우에업무시스템에평문으로저장된문서는암호화되어 E-DRM 서버로이동하고, E-DRM 서버에서는다운로드받는사용자의인적정보 ( 직위, 부서, 직무등 ) 와다운로드문서의성격 ( 예를들어, 보안등급 1-4) 을근거로접근제어정보 (ACL: Access Control List) 를삽입한후사용자암호화키를사용하여암호화한후전송하도록한다. 업로드의경유, 사용자컴퓨터에서암호화되거나평문인문서는 E-DRM 서버를거치면서복호화와암호화 ( 업무서버의키값으로 ) 를거쳐업무서버에평문으로저장된다. DSR 시스템에서는중요한문서와정보가업무서버에서는모두평문으로유지하도록하였기때문에서버가 APT 공격을받는경우심각한정보유출이있을수있다. 따라서일단접근제어를통해서버에접근가능한사용자를엄격히제한하고, 업무서버와 E-DRM 서버를비롯한모든서버와의거래 (transaction) 에는암호화를적용하도록하고있다. 예를들어, 사용자로부터기업포탈에서다운로드요청을받은 EDMS에서는평문으로된문서를 E-DRM 서버의키값으로암호화하여 E-DRM 서버로전달하고, E-DRM 서버는이를다시사용자키값으로암호화하여전달하도록하였다. 서버를통해문서가사용자에게전달될때 E-DRM 서버가중개자역할을하면서복호화와암호화과정을거치게된다. 이에따라문서를전달받는사용자는자신의직위와부서, 업무에따라같은문서라도다른사용권한이부여받게된다. 예를들어, 기업포탈을통해 EDMS에저장되거나업로드된문서를사용자A가다운로드받는경우에 EDMS에서암호화되어있는문서가 E-DRM 서버를거치면서사용자A의직위, 부서, 업무를고려한읽기 저장 편집 인쇄 보관기관 전송등의권한에대해결정하여그권한정보를파일헤더에붙여서사용자A의키값을사용하여암호화한후사용자A에게전달한다. 이메일서버를통해첨부된문서를사용자A가사용자F에게보내는경우에도중간에서 E-DRM 서버에의해사용자E의키값으로암호화되면서읽기 저장 편집 인쇄 보관기관 전송등의권한에대한내용이결정되고파일의헤더에포함되어전달된다. 이처럼 E-DRM 서버는기관내부의업무서버들이나사용자그룹사이에존재하는중개자역할을담당한다고할수있다.

업무서버이든, 이메일시스템이든 E-DRM 서버를거쳐서전달된모든문서는사용자의직위, 부서, 직무에따라각문서의사용권한이결정되어규정되어있다. 따라서규정된권한대로사용자의문서사용을제어하고데이터를수집하면된다. 그러나사용자컴퓨터, 혹은기기에서생성된파일이나문서는권한을어떻게결정하고통제할것인가?

18 업무서버이든, 이메일시스템이든 E-DRM 서버를거쳐서전달된모든문서는사용자의직위, 부서, 직무에따라각문서의사용권한이결정되어규정되어있다. 따라서규정된권한대로사용자의문서사용을제어하고데이터를수집하면된다. 그러나사용자컴퓨터, 혹은기기에서생성된파일이나문서는권한을어떻게결정하고통제할것인가? 사실상악의적인내부자유출과구분은대단히힘들기때문에사용자가생성한문서의유출도 APT 대응시스템에포함시킬필요가있다. 이는앞에서논의한요구사항-4에해당되는것으로, 사용자컴퓨터에서생성한문서의저장매체복제와와이파이 (Wifi) 혹은블루투스 (Bluetooth) 를이용한외부전송을규제하기위한기술이개발되어야한다.

19 사용자기기에저장된모든문서는외부에서생성되어다운로드, 혹은이메일을통해전달받거나사용자컴퓨터에의해생성된것이다. 업무시스템이나이메일을통해전달된중요한문서는모두암호화되고, 접근제어정보가내장되어있기때문에 APT 공격에대한문제는없다고할수있다. 사용자컴퓨터에서생성된문서는강제적으로암호화하는경우에대부분의문제가해결될수있다. 그러나업무특성상사용자기기에서생성한문서에대해평문검색이필요한경우에는내용검색을통해중요한정보를포함하고있는문서를선별적으로암호화하도록하고, 나머지파일에대해서는평문을유지할수있도록하였다. 파일이사용자컴퓨터에도착하는경우에실제적인권한제어 (access control) 는사용자의기기 ( 컴퓨터혹은모바일기기 ) 에설치된 DSR 클라이언트모듈에의해수행된다. 클라이언트모듈은 < 그림 4> 와같이사용자의활동 ( 읽기 쓰기 편집 인쇄 저장 전송등 ) 을통제하고사용자활동을모니터링하는클라이언트통제 (control) 모듈과내용기반의정보를검색하는내용검색 (semanscan) 모듈, 그리고파일의속성을조정할수있는 PME(Policy Monitoring & Enforcement) 모듈로이루어져있다. DSR 클라이언트모듈은사용자가응용프로그램, 예를들면오피스문서 (MS 문서 ) 나 CAD 문서를클릭하는순간자동으로작동을개시하지만, 사용하려고하는문서가 1사내업무시스템 (EDMS, ERP, 그룹웨어, 포털, 이메일등 ) 을통해다운로드받거나첨부된문서인경우인지, 2새로이작성한문서인지에따라각기다른제어를하고있다. 사용자기기 ( 사용자 PC 혹은모바일기기 ) 를통해새로생성되는문서에대해서는일단암호화를강제로하도록하고 ( 문서의생성 ), 사용자기기에서웹이나저장매체를통해외부로반출되는경우혹은주기적으로검색하는경우에내용검색 (semanscan) 과정을반드시거치도록하고있다. 사용자기기에서새로문서가생성되는경우에저장하는순간내용검색 (semanscan) 엔진이작동되면서개인정보등급이결정되고, 이를바탕으로새로운문서의개인정보보안조치가결정된다. 기존의내려받은 (download) 문서, 혹은이메일에서첨부된문서를편집하여저장하는경우에도이과정을따르도록하고있다. 만약내용검색의결과정보의수준이유의미 meaningful) 한경우에자동으로암호화되면서보안기밀수준필드 (field) 에 1등급에서 5등급으로정보수준이표시된다. 웹을통해외부의시스템과접속하는경우와저장매체를통해외부유출의경우에도기존문서의접근권한체크와내용검색, 그리고개인정

20 보보안조치를수행한다. 주기적인배치 (batch) 검사의경우에도내용검색을통해문서의기밀수준을결정하고, 이를통해보안조치를취하게된다. 기밀정보보안조치는 1격리저장, 2삭제, 3암호화로서기밀정보가어느수준이상인경우기본적으로는모두암호화를하게한다. 기밀정보보안조치에는사용자가로그인 (log-in) 할때서버로부터내려받은사용자정보 ( 사용자의이름과사번, 지위와부서, 직책, 소속그룹등의정보 ) 를참조하고내용검색에서얻어진기밀정보수준에의해결정한다. 만약내용검색을통해기밀정보수준에대해어느정도이상이지만강제적인삭제를하기에확신이서지않는경우에특정보안폴더로파일을강제적으로옮겨서사용자가임의로접근할수없도록하고있다. 사내업무시스템을통해다운로드받거나이메일시스템으로첨부를통해받은문서를사용하는경우에서버에서사용자정보와보안정책에의해접근권한 (access right) 의제어를담당한다. DSR 서버로부터전달받거나다운로드받은이러한문서의접근제어는서버에서규정한 (specified) 권한정보에따라행해지기때문에내용검색모듈 (SemanScan) 을구동시킬필요가없다. 즉, 서버에서접근권한을읽기 3회, 출력 1회혹은편집불가라고규정한경우에 DSR 클라이언트모듈에서사용 (usage) 제어기능을작동시켜사용자의활동을감시하고제어한다. 편집불가혹은출력불가라는정보에도불구하고네트워크프린터, 가상프린터등을통해서출력을시도하는경우에활동정보는서버로전달되고, 로그 (log) 파일에남게된다. 출력불가에도불구하고출력을시도하는경우에클라이언트의 E-DRM 에이전트 (agent) 모듈이응용프로그램을제어하거나출력관련유틸리티프로그램을제어하여출력을막는다. 이는 E-DRM 시스템의고유한기술로서 E-DRM 기술이구현되기어려운이유이기도하다. 출력 1회라는규정에도불구하고, 1회출력후다시출력을시도하는경우에도시도기록이로그파일에저장되고서버에전달된다. 접근권한이출력가능인경우에문서출력시사용자의정보 ( 이름, 사번 ) 와출력시간, 출력포트등의정보를기관의로고 (logo) 에삽입하여문서의배경으로출력하고문제가생기는경우출력한사람을추적하도록하고있다. 모바일기기의보급이확산되면서많은업무시스템이스마트기기로옮겨가고있다. 대표 적으로전자결제를위한그룹웨어, 이메일사용이이미보편화되어있고, ERP 시스템도점차

스마트기기로이동중이다. 중요한문서나자료를기기에저장할수있고, 따라서스마트기기들이 APT 공격의목표가될가능성이높아지고있다. 실제내부정보유출방지의입장에서도스마트기기에의한정보유출이중요하기때문에 DSR에서는모바일기기에의한정보유출기능이개발되었다. 모바일 E-DRM 서버는온라인 E-DRM 서버와연동하여운영되도록설계하였다.

21 스마트기기로이동중이다. 중요한문서나자료를기기에저장할수있고, 따라서스마트기기들이 APT 공격의목표가될가능성이높아지고있다. 실제내부정보유출방지의입장에서도스마트기기에의한정보유출이중요하기때문에 DSR에서는모바일기기에의한정보유출기능이개발되었다. 모바일 E-DRM 서버는온라인 E-DRM 서버와연동하여운영되도록설계하였다. 모바일기기를통해전달하는모든문서는온라인 E-DRM의보안정책 (security policy) 결정모듈을통해전달받는문서의내용과사용자의직위, 부서, 직책에따라각기다른접근권한을부여하고이를전달하는문서에첨가하고암호화하여전달한다. 모바일기기에설치된 E-DRM 에이전트 (agent) 는접근제어정보에따라읽기 편집 저장 사용기간등의권한을제어하게된다.

22 DSR 에서는현재 ios, Android, MS 모바일을지원하고있다. Ⅳ. 결론 : 제안점및향후연구과제 APT 공격이가상화기술로옮겨가는경우치명적인결함이발생할수있다는우려가제기되고있다. 현재대부분의클라우드컴퓨팅시스템이가상화소프트웨어 (VMware) 의제품을사용하고있는데, 가상화소프트웨어 (VMware) 의알려지지않은치명적인결함을발견하고이를통해침입하는경우에대규모서버집단전체가입을수있는피해는어디까지가될지추정하기어렵다 (Command Five, 2011). 더구나서버기술에취약한국내기술로클라우드컴퓨팅환경을구축하는경우에 APT 공격에대비한방어와대비를더욱공고히할필요가있다. 특히, 우리나라는소셜네트워크서비스확산으로이메일을사용한 APT 공격에국내시스템들이상당히취약하다고판단된다. 페이스북, 트위터, 링크트와같은소셜네트워크서비스를통해많은사람들의이메일주소가공개되어있는데, 흥미를끌만한주제로제목을달아서

23 이메일을보내는경우메일을열어보게되고자동적으로원격조정프로그램이설치될수있기때문이다. 이처럼정부기관이나기업의이메일시스템을통해일단네트워크속으로들어가기만하면그다음으로 APT 공격자가할수있는일은무수히많다. EMC RSA 사례에서보여진것처럼네트워크감시, 다른계정의패스워드해시값낚아채기, 컴퓨터에설치된마이크로대화내용엿듣기도가능하다. 더구나보안기반이취약한정부기관과중소규모기업의경우 APT 공격에속수무책일수밖에없다. 본고에서는 APT 공격에대한대응방안으로보안이향상된 E-DRM 방식의 DSR 시스템구조를제안한다. 아직도 APT 공격에서뚜렷한공격패턴을발견하지못하고있기때문에기존의방어기술로서는효과적으로대응할수없음은대부분의글로벌보안기업이나전문가들이동의하고있다. APT 공격에대한예방이나적발 (detection) 기술로서아직은효과적인수단이없지만, 본고에서제안하고있는암호화와접근제어에바탕을둔 E-DRM 방식이현재로서는가장근원적이고강력하고효과적인방어수단이라고판단된다. 오랫동안암호화알고리즘을무력화시키려는시도는무수히있어왔지만현재사용되고있는 AES, 혹은 Triple-DES에대해성공한경우는아직까지보고된적이없다. 또한정보유출방지라는측면에서본고에서제안하고있는성능이향상된 E-DRM 방식의 APT 대응방식은평문유지와내용검색, 그리고강제적인보안조치 (enforcement) 에의존하고있는 DLP 방식보다보안성측면에서훨씬안전하고, 모바일환경에서더욱편리한업무지원이가능하다. DLP 방식은현재와같이모바일업무환경이늘어나게되는경우에와이파이, 블루투스를통한정보유출에취약하고평문저장이라는한계때문에집중화된공격에취약할수밖에없다. 다만, 본고에서제안하고있는 E-DRM 방식에서개선되어야할점은다음과같다. 첫째, 서버암호화부분이다. APT 공격에대한최선의대응방안은서버와사용자기기모두에저장된문서를암호화하는것이다. 그러나업무서버는협업과정보공유를원칙으로하는그목적때문에암호화하기어렵다. DSR에서는서버에대한접근제어와 E-DRM 서버와의문서이동시암호화를적용하고있지만, 근본적인대책은업무서버에서의암호화작업이다. 이를지원하기위한새로운아이디어나기술이개발될필요가있다. 둘째, 암호화된문서의부분적인탐색 (search) 기능의개발이다. 일부데이터베이스보안 (Database Security) 에서암호화된데이터의탐색이시도되고있지만, 현장적용까지는아직많은연구와개발이이루어져야한다. 이점에서암호화된문서를저장하는사용자기기의탐색기술개발이필요하다. 셋째, 현재 DSR 시스템은 APT 방어시스템의일부로사용될수있지만, 전체적으로작

24 동하기위해서는 APT 탐색과역추적기술이개발되어야한다. APT 탐색기술로서현재평가 (evaluation) 기술이나가상화기술이제안되고있지만, 악성코드탐색기능이제한적이라는점때문에더효율적이고빠른탐색기술이되어야한다. 그리고역추적기술역시개발할필요가있다. 참고문헌 노동균 (2012), APT 대응보안패러다임변화는현재진행형, 미디어 IT 대검찰청 (2011), 농협전산망장애사건수사결과, 성재모 김영태 신동일 홍영우 김태희 (2011), 개인정보보호기술동향보고서, 금보원 , 금융보안연구원. 정영철 (2011), 개인정보유출방지를위한기술적보호모델에관한연구, 성균관대학교석사학위논문. 한국인터넷진흥원 (2012), 인터넷침해사고동향및분석월보, 2012년 7월호. AhnLab (2012). A Whole New Approach in combating Advanced Persistent Threats. Binde, Beth E., McRee, Russ., and O Conner, Terrence J. (2011). Assessing Outbound Traffic to Uncover Advanced Persistent Threat. SANS Technology Institute. Command Five (2011a). Advanced Persistent Threat : A Decade in Review. commandfive.com/papers/c5_apt_adecadeinreview.pdf Command Five (2011b). SK Hack by an Advanced Persistent Threat. commandfive.com/papers/c5_apt_skhack.pdf Command Five (2012). Command and Control in the Fifth Domain. commandfive.com/papers/c5_apt_c2inthefifthdomain.pdf Daly, Michael K (2009). The Advanced Persistent Threat. Usenix. usenix.org/event/lisa09/tech/slides/daly.pdf Damballa (2012). Advanced Persistent Threats(APTs). knowledge/advanced-persistent-threats.php Dell Secure Works (2012). Life Cycle of an Advanced Persistent Threat.

25 slideshare.net/dellsecureworks/lifecycle-of-an-advanced-persistent-threat Ekici, Burak (2012). Advanced & Persistent Threat Analysis I, Seminar in Yasar University, iwosi2012-burak-ekici-1.pdf. Espenshied, Jonathan A. (2012). A Discussion of Threat Behavior: Attackers & Patterns. Fire Eye (2012). Cyber Attacks on Government: How APT Attacks are Compromising Federal Agencies and How to Stop Them. /000088_5630.pdf Hack Forums (2012). Paid for bots. Bots disappeared. Aug 19, net/archive/index.php/thread html Liu, Shun-Te, Yi-Ming Chen, and Hui-Ching Hung (2012). N-Victims: An Approach to Determine N Victims for APT investigations, Proceedings of WISA Conference in Korea. McAfee (2011). Global Energy Cyber Attacks: NightDragon. ca/resources/white-papers/wp-global-energy-cyberattacks-night-dragon.pdf Moore, John W. (2010). From Phishing to Advanced Persistent Threats: The Application of Cybercrime Risk to the Enterprise Risk Management Model, Review of Business Information Systems. Vol 14, No. 4. Obama, Barack (2012). Taking the Cyberattack Threat Seriously. Wall Street Journal. July 19, Riley, Michael and Vance, Ashlee (2011). Cyber Weapons: The New Arms Race. Business Week. July 20, Roman, Jeffrey (2011). Encryption in Age of Advanced Persistent Threats, Strong Tool Against Cyber attacks inforisk Today, Aug 8, RSA (2011). When Advanced Persistent Threats Go Mainstream: Building Information-Security Strategies to Combat Escalating Threats. sbic_rpt_0711.pdf The 451 Group (2012). E-CRIME AND Advanced Persistent Threats: How Profit and Politics Affect IT Security Strategies. reports/ executive_summary.php?id=1060 Wikipedia. Storm Botnet. 5)

26 1982 년아주대산업공학과를졸업하고 1988 년 University of South Carolina 박사학위 (MIS) 를취득하였다 년부터상명대학교교수 ( 소프트웨어대학컴퓨터과학부 ) 로재직중이며주요관심분야는 DRM, Watermarking, 네트워크해킹및시스템해킹기술이다 (juchoi@markany.com) 년선문대학교를졸업하고 1999 년선문대학교공과대학원석사학위를취득하였다 년마크애니에입사하여현재마크애니전략사업본부 DRM 개발실실장으로재직중이다 (ikkim@markany.com). 고려대학교정보경영공학박사학위를취득하고현재정보통신정책연구원미래융합연구실부연구위원으로재직중이다. 주요관심분야는정보보호정책, 미래정보화전략, 사이버공격대응기술등이다 (jyy@kisdi.re.kr). 현재상명대학교소프트웨어대학컴퓨터과학부 3 학년재학중이다 (jw122100@daum.net). < 게재확정일 : >

354-437-4..

354-437-4.. 357 358 4.3% 5.1% 8.2% 6.2% 5.6% 6% 5% 5.3% 96.1% 85.2% 39.6% 50.8% 82.7% 86.7% 28.2% 8.0% 60.0% 60.4% 18,287 16,601 (%) 100 90 80 70 60 50 40 86.6% 80.0% 77.8% 57.6% 89.7% 78.4% 82.1% 59.0% 91.7% 91.4%