사이버 킬 체인 (Cyber Kill Chain)

I. 사이버 공격 분석 모델, 사이버 킬 체인

가. 사이버 킬 체인의 개념

  • 사이버 공격을 프로세스 기반 분석하여 각 단계 별 위협 요소 파악 및 공격 방법 정의 분석 모델

나. 사이버 킬 체인의 사상

  • ‘공격이 최선의 방어’라는 전투 원칙 사상을 응용
  • APT 공격을 설명하는데 주로 사용

 

II. 사이버 킬 체인의 7단계 및 단계 별 대응 방안

가. 사이버 킬 체인의 7단계

구분상세 설명
단계
세부
항목
정찰– 공격 목표와 표적 조사/식별/선정
무기화– 자동화 도구 이용, 사이버 무기 준비
전달– 표적시스템에 사이버 무기 유포
익스플로잇– 사이버무기의 작동 촉발/악용
설치– 표적시스템에 악성 프로그램 설치
C&C– 표적시스템 원격조작 채널 구축
행동개시– 정보수집/시스템 파괴 등 공격 수행
  • 공격 전, 시도, 후 7단계로 이루어진 공격 절차 대응이 중요

나. 사이버 킬 체인의 단계 별 대응 방안

단계공격 방법대응 방안
정찰– 이메일, 크롤링
– 사회공학 기법
– 방화벽 필터링/ACL
– 허니팟, 베스천 호스트
무기화– 악성코드 생성
– Trojan 등 결합
– IDS/IPS, NIPS/NIDS
– SIEM, 호스트 분석
전달– Drive by Download
– 스피어 피싱 등
– Proxy Filter
– 이메일 분석
익스플로잇– 사이버무기 작동
– 취약점 이용 공격
– HIDS, OS 패치 업데이트
– 안티바이러스 등
설치– Trojan 설치
– 원격 백도어 이용
– HIDS, chroot jail
– Secure OS,
C&C– 시스템 권한획득
– 명령어 전달/제어
– Firewall ACL
– SIEM, FDS
행동 개시– 시스템 파괴
– 데이터 유출
– Audit Log
– 허위 데이터 전송

 

III. 사이버 킬 체인 한계점 및 대안

한계점대안
– 방화벽을 침입자에 대한 핵심 방어 수단으로 가정– 공격자는 끊임없이 공격 시도하므로 내부 방어 강화 필요
  • 단계별 TTP(Tactics, Techniques and Procedures) 파악, 방어TTP 만들어 대응
One Comment

콘텐츠 사용 시 출처 표기 부탁 드리고, 궁금한 점이나 의견은 댓글 남겨주세요^^