APT 공격이 무엇이고, 일반적인 해킹과 무엇이 다른지, 그리고 어떤 단계로 진행되는지

핵심은 APT를 하나의 “기술”이 아니라 장기간에 걸친 공격 전략으로 이해하는 것이다.

먼저 APT의 개념부터 정리하자. APT는 Advanced Persistent Threat의 약자로, 말 그대로 지능적(Advanced)이고 지속적(Persistent)이며 특정 대상을 노리는(Targeted) 공격이다. 불특정 다수를 대상으로 한 단순 해킹과 달리, 기업·금융기관·정부기관처럼 명확한 표적을 정해 놓고, 한 번에 끝내지 않고 오래 시간에 걸쳐 은밀하게 공격을 계속한다는 점이 가장 큰 특징이다. 공격의 목적도 단순한 장난이 아니라 정보 탈취, 장기 감시, 산업 스파이, 국가 차원의 정보 수집 같은 경우가 많다.

APT 공격에서는 다양한 기법이 함께 사용된다. 예를 들어 SNS를 이용해 내부 직원의 성향이나 인간관계를 조사하고, 그 정보를 바탕으로 악성 메일을 보내는 식이다. 이때 사용되는 것이 MAIL APT로, 정상 메일처럼 위장한 첨부파일이나 링크를 통해 악성코드를 심는다. Zero Day Attack은 아직 패치가 나오지 않은 취약점을 이용해 초기 침투에 사용된다. 백도어 APT는 한 번 침투한 뒤 백도어를 설치해 두고, 나중에 다시 쉽게 들어오기 위한 통로를 유지하는 방식이다. 이 모든 것이 “한 번 성공하고 끝”이 아니라, 들키지 않고 오래 남아 있는 것을 목표로 한다.

APT 공격은 보통 단계적으로 진행된다. 첫 번째 단계는 침투(Incursion)다. 이메일 첨부파일, USB, 악성 웹사이트 같은 경로를 통해 내부 시스템에 처음 발을 들인다. 이 단계에서는 사용자가 악성코드를 실행하도록 속이는 사회공학 기법이 많이 사용된다.

두 번째 단계는 탐색(Discovery)이다. 내부에 들어온 공격자는 바로 공격하지 않는다. 대신 네트워크 구조, 서버 위치, 계정 정보, 데이터베이스 구조 같은 정보를 천천히 수집한다. 이 단계가 길어질수록 공격자는 내부 직원처럼 행동하게 된다.

세 번째 단계는 수집 또는 공격(Capture/Attack)이다. 공격자가 최종 목표로 삼은 데이터, 예를 들어 고객 정보, 기밀 문서, 기술 자료 등을 실제로 수집하거나 시스템을 조작한다.

네 번째 단계는 유출(Exfiltration)이다. 수집한 정보를 외부로 빼내는 단계다. 단번에 대량 전송하면 탐지되기 쉬우므로, 소량씩 나눠서 외부 서버로 전송하는 경우가 많다. 이 정보는 분석, 추가 공격, 또는 금전적 이익을 위해 사용된다.

이 과정을 좀 더 공격자 관점에서 정리한 것이 사이버 킬체인(Cyber Kill Chain)이다. 킬체인은 공격이 어떻게 준비되고 실행되는지를 단계별로 나눈 개념이다. 먼저 정찰 단계에서 공격 대상의 인프라와 정보를 조사한다. 그 다음 무기화 및 전달 단계에서 공격에 필요한 악성코드를 준비하고 전달 방법을 결정한다. 이후 익스플로잇 설치 단계에서 실제 악성코드를 시스템에 심는다. 그 다음이 명령 및 제어(C2) 단계로, 외부에서 감염된 시스템을 원격으로 조종한다. 마지막으로 행동 및 탈출 단계에서 정보 유출이나 시스템 파괴를 수행하고, 로그를 삭제해 흔적을 지운다.

정리하면, APT 공격은
불특정 다수를 노리는 단기 공격이 아니라,
특정 조직을 목표로 장기간 은밀하게 진행되는 공격이며,
초기 침투 → 내부 탐색 → 목표 달성 → 정보 유출이라는 흐름을 가진다.