2019년 4월 15일
사이버 킬 체인 (Cyber Kill Chain)
I. 사이버 공격 분석 모델, 사이버 킬 체인
가. 사이버 킬 체인의 개념
- 사이버 공격을 프로세스 기반 분석하여 각 단계 별 위협 요소 파악 및 공격 방법 정의 분석 모델
나. 사이버 킬 체인의 사상
- ‘공격이 최선의 방어’라는 전투 원칙 사상을 응용
- APT 공격을 설명하는데 주로 사용
II. 사이버 킬 체인의 7단계 및 단계 별 대응 방안
가. 사이버 킬 체인의 7단계
구분 | 상세 설명 | |
---|---|---|
단계 | ||
세부 항목 | 정찰 | – 공격 목표와 표적 조사/식별/선정 |
무기화 | – 자동화 도구 이용, 사이버 무기 준비 | |
전달 | – 표적시스템에 사이버 무기 유포 | |
익스플로잇 | – 사이버무기의 작동 촉발/악용 | |
설치 | – 표적시스템에 악성 프로그램 설치 | |
C&C | – 표적시스템 원격조작 채널 구축 | |
행동개시 | – 정보수집/시스템 파괴 등 공격 수행 |
- 공격 전, 시도, 후 7단계로 이루어진 공격 절차 대응이 중요
나. 사이버 킬 체인의 단계 별 대응 방안
단계 | 공격 방법 | 대응 방안 |
---|---|---|
정찰 | – 이메일, 크롤링 – 사회공학 기법 | – 방화벽 필터링/ACL – 허니팟, 베스천 호스트 |
무기화 | – 악성코드 생성 – Trojan 등 결합 | – IDS/IPS, NIPS/NIDS – SIEM, 호스트 분석 |
전달 | – Drive by Download – 스피어 피싱 등 | – Proxy Filter – 이메일 분석 |
익스플로잇 | – 사이버무기 작동 – 취약점 이용 공격 | – HIDS, OS 패치 업데이트 – 안티바이러스 등 |
설치 | – Trojan 설치 – 원격 백도어 이용 | – HIDS, chroot jail – Secure OS, |
C&C | – 시스템 권한획득 – 명령어 전달/제어 | – Firewall ACL – SIEM, FDS |
행동 개시 | – 시스템 파괴 – 데이터 유출 | – Audit Log – 허위 데이터 전송 |
III. 사이버 킬 체인 한계점 및 대안
한계점 | 대안 |
---|---|
– 방화벽을 침입자에 대한 핵심 방어 수단으로 가정 | – 공격자는 끊임없이 공격 시도하므로 내부 방어 강화 필요 |
- 단계별 TTP(Tactics, Techniques and Procedures) 파악, 방어TTP 만들어 대응
One Comment