사이버 스파이의 숨겨진 기술: ATT&CK Matrix - Collection 기법 해부

Collection

 

서론: Collection 기법의 심층 분석

사이버 보안 분야에서 Collection 기법은 공격자가 이미 침투한 네트워크나 시스템 내에서 정보를 수집하는 다양한 방식을 포함합니다. 이러한 기법들은 공격자에게 중요한 정보를 제공하며, 향후의 공격 단계를 계획하고 실행하는 데 필수적입니다. Collection 기법은 단순히 데이터를 수집하는 행위를 넘어서, 타겟으로 한 시스템의 취약점을 파악하고, 민감한 정보를 노출시키며, 최종적으로 조직에 심각한 피해를 입힐 수 있는 데이터 유출로 이어질 수 있습니다.

공격자는 다양한 Collection 기법을 사용하여 목표를 달성합니다. 예를 들어, 오디오 및 비디오 캡처를 통해 회의 내용이나 중요한 정보를 도청하거나, 클라우드 저장소 및 네트워크 공유 드라이브에서 데이터를 추출할 수 있습니다. 또한, 키로깅이나 클립보드 데이터 수집을 통해 사용자의 자격 증명과 같은 민감한 정보를 획득하기도 합니다. 이러한 기법들은 조직의 보안 메커니즘을 우회하고, 눈에 띄지 않게 정보를 수집하는 데 특화되어 있습니다.

Collection 기법의 심층 분석은 사이버 보안 전문가들에게 이러한 공격을 이해하고, 효과적으로 대응할 수 있는 전략을 개발하는 데 도움을 줍니다. 이는 네트워크와 시스템의 보안 강화, 민감한 정보의 보호, 그리고 조직의 사이버 보안 포스처를 향상시키는 데 중요한 역할을 합니다. 따라서, Collection 기법에 대한 지속적인 연구와 분석은 사이버 보안의 전반적인 이해를 넓히고, 보다 강력한 방어 체계를 구축하는 데 필수적입니다. 이를 통해 조직은 공격자가 수집할 수 있는 정보의 양을 최소화하고, 사이버 공격으로부터 자산을 효과적으로 보호할 수 있습니다.

 

데이터 수집 방어

Collection 기술

Adversary-in-the-Middle
소개: 공격자가 두 통신 당사자 사이에서 데이터를 가로채거나 조작하는 기법입니다. 이를 통해 민감한 정보를 획득하거나 통신을 방해할 수 있습니다.
대응법: 통신의 암호화(SSL/TLS 사용), VPN 활용, 정기적인 보안 인증서 갱신 및 검증을 통해 이러한 공격을 방지할 수 있습니다. 또한, 네트워크 모니터링을 통해 비정상적인 트래픽 패턴을 감지해야 합니다.

Archive Collected Data
소개: 공격자가 수집한 데이터를 압축하고 암호화하여 저장하는 기법입니다. 이는 나중에 사용하거나 다른 위치로 안전하게 이동하기 위함입니다.
대응법: 데이터 접근 로그를 모니터링하고, 민감한 정보의 암호화, 데이터 사용 및 이동에 대한 엄격한 정책 구현으로 대응할 수 있습니다. 또한, 정기적인 보안 감사로 무단 데이터 액세스를 감지해야 합니다.

Audio Capture
소개: 공격자가 마이크로폰을 통해 주변의 소리를 녹음하는 기법입니다. 이는 회의실 논의나 민감한 정보를 수집하기 위해 사용될 수 있습니다.
대응법: 물리적 보안 강화, 소프트웨어를 통한 마이크로폰 접근 제어, 사용자 교육을 통해 이러한 위협에 대비할 수 있습니다. 마이크로폰 사용 권한을 필요한 애플리케이션에만 제한합니다.

Automated Collection
소개: 자동화 도구를 활용하여 대량의 데이터를 수집하는 기법입니다. 이는 효율적으로 정보를 수집하여 공격자의 목표 달성을 돕습니다.
대응법: 이상 행동 감지 시스템을 사용하여 자동화된 데이터 수집 시도를 모니터링하고, 필요 시 차단합니다. 접근 제어와 암호화를 통해 데이터의 무단 수집을 방지합니다.

Browser Session Hijacking
소개: 공격자가 사용자의 웹 브라우저 세션을 가로채어 인증 토큰을 이용해 사용자처럼 행동하는 기법입니다.
대응법: 세션 쿠키의 보안 강화(예: HTTPOnly, Secure 플래그 설정), 다중 인증 도입, 정기적인 세션 토큰 갱신으로 이러한 공격을 방지할 수 있습니다.

Clipboard Data
소개: 공격자가 사용자의 클립보드에 저장된 정보(비밀번호, 개인정보 등)를 캡처하는 기법입니다.
대응법: 보안 소프트웨어를 사용하여 악성 프로그램의 클립보드 접근을 차단하고, 중요 정보를 클립보드에 복사하지 않도록 사용자 교육이 필요합니다.

Data from Cloud Storage
소개: 공격자가 클라우드 저장소 서비스에서 데이터를 수집하는 기법입니다. 이는 구성 오류나 약한 인증 메커니즘을 이용할 수 있습니다.
대응법: 클라우드 저장소에 대한 강력한 접근 제어 정책을 수립하고, 데이터 암호화, 다중 인증을 구현해야 합니다. 또한, 정기적인 보안 설정 검토가 필요합니다.

Data from Configuration Repository
소개: 공격자가 구성 저장소(예: GitHub, Bitbucket)에서 시스템 구성 정보를 수집하는 기법입니다.
대응법: 구성 저장소에 대한 접근을 엄격히 제어하고, 민감한 정보가 포함되지 않도록 주의합니다. 또한, 저장소의 보안 설정을 강화하고 정기적으로 검토해야 합니다.

Data from Information Repositories
소개: 공격자가 정보 저장소(예: 데이터베이스, 파일 서버)에서 대량의 데이터를 수집하는 기법입니다.
대응법: 정보 저장소에 대한 접근 제어를 강화하고, 데이터의 암호화를 통해 저장된 정보를 보호합니다. 정기적인 보안 감사와 모니터링으로 무단 접근을 감지합니다.

 

Data from Local System
소개: 공격자가 침투한 시스템의 로컬 파일, 문서, 설정 등을 수집하는 기법입니다. 이를 통해 더 많은 정보를 획득하고 추가 공격을 준비할 수 있습니다.
대응법: 중요 파일과 문서에 대한 액세스 제어를 강화하고, 민감한 정보를 암호화하여 저장합니다. 시스템 보안 소프트웨어를 사용하여 악성 활동을 감지하고, 사용자 교육을 통해 무분별한 파일 공유와 저장을 방지합니다.

Data from Network Shared Drive
소개: 네트워크 공유 드라이브에서 데이터를 수집하는 기법으로, 공격자는 이를 통해 조직 내 다른 정보에 접근할 수 있습니다.
대응법: 네트워크 공유에 대한 엄격한 접근 제어 정책을 수립하고, 필요한 사용자만 정보에 접근할 수 있도록 합니다. 또한, 네트워크 활동을 모니터링하여 비정상적인 데이터 접근을 신속하게 탐지합니다.

Data from Removable Media
소개: 이동식 미디어(USB 드라이브, 외장 하드 드라이브 등)를 통해 데이터를 수집하는 기법입니다. 공격자는 이를 이용해 물리적 보안이 취약한 시스템에서 정보를 추출할 수 있습니다.
대응법: 이동식 미디어의 사용을 제한하고, 사용 시 보안 정책에 따라 검사 및 승인 과정을 거치도록 합니다. 민감한 시스템에서는 이동식 미디어의 사용을 전면 금지하고, 데이터 유출 방지 솔루션(DLP)을 적용합니다.

Data Staged
소개: 수집된 데이터를 네트워크 내 특정 위치에 임시 저장하고, 추후에 공격자가 이를 외부로 전송하는 기법입니다.
대응법: 데이터의 무단 저장 및 전송을 감지하기 위해 파일 시스템 모니터링을 강화합니다. 중요 데이터의 액세스 및 이동 로그를 기록하고, 이상 행동 분석을 통해 비정상적인 데이터 저장 활동을 탐지합니다.

Email Collection
소개: 공격자가 이메일 계정에 접근하여 메일 내용, 첨부 파일, 주소록 등을 수집하는 기법입니다. 이는 추가적인 공격 또는 정보 탈취에 활용됩니다.
대응법: 이메일 시스템에 강력한 인증 메커니즘(예: 다중 인증)을 적용하고, 이메일 암호화를 통해 메일 내용을 보호합니다. 사용자 교육을 통해 피싱 이메일에 대한 인식을 높이고, 이메일 보안 솔루션을 사용합니다.

Input Capture
소개: 키로깅 또는 기타 입력 캡처 기법을 통해 사용자의 키 입력을 기록하는 방법입니다. 이는 비밀번호, 금융 정보 등을 획득하는 데 사용됩니다.
대응법: 안티바이러스 및 안티멀웨어 솔루션을 사용하여 키로깅 시도를 차단하고, 중요한 정보 입력 시 가상 키보드의 사용을 권장합니다. 또한, 사용자 교육을 통해 의심스러운 소프트웨어 설치를 방지합니다.

Screen Capture
소개: 공격자가 사용자의 화면을 캡처하여 현재 진행 중인 작업, 민감한 정보, 회의 내용 등을 수집하는 기법입니다.
대응법: 보안 소프트웨어를 통해 악성 화면 캡처 도구의 실행을 차단하고, 사용자에게 화면 보호자 사용과 같은 보안 습관을 권장합니다. 또한, 중요한 정보 처리 시 비가시 영역에서 작업을 수행하도록 합니다.

Video Capture
소개: 웹캠을 통해 비디오를 녹화하며, 개인이나 회의의 시각 정보를 수집하는 기법입니다. 이는 민감한 대화나 정보를 포착할 수 있습니다.
대응법: 웹캠 사용에 대한 접근 제어를 강화하고, 웹캠 커버 사용을 권장합니다. 보안 소프트웨어를 사용하여 무단 웹캠 접근을 감지하고 차단하며, 사용자에게 웹캠 활성화 시 주의를 기울이도록 교육합니다.

 

 

자동화된 데이터 수집

결론: Collection 기법에 대한 방어 전략

Collection 기법에 대한 방어는 사이버 보안의 핵심적인 부분입니다. 공격자가 조직 내 정보를 수집하고 활용하는 것을 방지하기 위해서는 다층적인 방어 전략이 필수적입니다. 첫째, 강력한 데이터 액세스 관리와 접근 제어 정책을 구현하여, 민감한 정보에 대한 접근을 엄격히 제한해야 합니다. 이는 사용자 권한의 최소화 원칙을 적용하고, 각 사용자의 권한을 정기적으로 검토하여 불필요한 권한을 제거함으로써 이루어질 수 있습니다.

둘째, 네트워크 세분화와 암호화를 통해 데이터 전송 과정에서의 보안을 강화해야 합니다. 민감한 정보가 전송되는 내부 네트워크 트래픽은 암호화하여, 중간자 공격이나 데이터 스니핑에 대한 위험을 줄일 수 있습니다. 또한, 네트워크 트래픽의 모니터링과 분석을 통해 비정상적인 데이터 흐름을 감지하고 대응할 수 있어야 합니다.

셋째, 직원 교육과 인식 제고 활동은 사이버 위협에 대한 조직 내 인식을 높이는 데 중요합니다. 직원들이 피싱 공격이나 악성 링크의 위험을 인지하고, 의심스러운 이메일이나 메시지를 적절히 처리할 수 있도록 교육하는 것이 필수적입니다. 이는 내부에서 발생할 수 있는 데이터 유출이나 정보 수집 시도를 사전에 차단하는 데 큰 도움이 됩니다.

넷째, 엔드포인트 보안 솔루션의 활용은 악성 소프트웨어의 설치나 실행을 방지하여 정보 수집 시도를 차단하는 데 중요합니다. 실시간으로 시스템을 모니터링하고, 악성 코드의 존재를 신속하게 탐지하여 제거함으로써, 정보 수집 도구의 확산을 막을 수 있습니다.

마지막으로, 정기적인 보안 감사와 취약점 평가를 실시하여 시스템과 네트워크의 보안 상태를 지속적으로 평가하고 개선해야 합니다. 이를 통해 새롭게 발견되는 취약점을 신속하게 해결하고, 공격자가 이용할 수 있는 가능한 경로를 최소화할 수 있습니다.

Collection 기법에 대한 효과적인 방어 전략은 조직의 보안 체계를 강화하고, 민감한 정보를 보호하는 데 있어 중요한 역할을 합니다. 따라서, 이러한 전략들은 사이버 보안 프로그램의 핵심 요소로 포함되어야 합니다.

 

 

해커의 이동 경로 추적하기: ATT&CK Matrix - Lateral Movement 전략 완전 해석