정의
사이버 킬체인
-
사이버 공격이 어떻게 진행되는지를 단계별로 분석한 프레임워크
-
2009년, Lockheed Martin이 군사작전에서 적을 무력화하는 과정을 분석하기 위해 만든 개념을 사이버 보안 분야에 적용
-
공격자들이 목표 시스템에 침투하고 피해를 주기까지 어떤 과정을 거치는지 구조적으로 설명
사이버 킬체인 7단계
1. 정찰
- 공격자가 대상에 대한 정보를 수집
2. 무장화
- 수집한 정보를 바탕으로 악성 파일 제작
3. 전달
- 제작된 악성 페이로드를 전달
4. 악성코드 실행
- 페이로드가 실행되며 시스템 취약점을 악용
- 사용자의 실수나 미패치된 SW가 주 타깃이 됨
5. 설치
- 시스템에 백도아, 루트킷 등의 악성 프로그램 설치
6. 명령&제어
- 감염된 시스템이 외부 C2 서버와 통신
7. 목표 달성
- 궁극적인 공격 목적 수행
활용
-
공격자 관점에서 공격 단계를 체계적으로 분석해서 각 단계별로 위협 요소를 파악하고 대응책을 마련 가능
-
방어자 입장에서는 공격 한 단계라도 조기 탐지, 차단하면 전체 공격 성공률을 크게 낮출 수 있음
-
APT 공격같은 장기적이고 정교한 공격에 효과적
대응 방안
1. 정찰
: 방화벽, 허니팟, 접근제어(ACL)
2. 무기화/전달
: IDS/IPS, 이메일 필터, 프록시 서버
3. C2 / 행동 개시
: 트래픽 분석, 로그 모니터링, 데이터 암호화
한계
- 내부망 침투 이후(권한 상승, 내부 확산)에는 탐지와 차단이 어렵다
little by little