Professional Documents
Culture Documents
5월 2주차 보안 위협 동향 보고
5월 2주차 보안 위협 동향 보고
1 2024 년 5 월 둘째 주, 최신 위협 현황 ......................................................................................... 3
2 관련 용어 ............................................................................................................................................... 25
Page | 2
1 2024 년 5 월 둘째 주, 최신 위협 현황
美 정부, ‘北 Kimsuky 해킹’ 합동 보안권고문 발표
1.1.1 키워드 및 요약
+ 키워드: Malware, Spear Phishing, NK
+ 요약: 美 정부, ‘北 공격자의 DMARC 정책 악용 스피어피싱 주의’ 권고문 발표
1.1.2 위협 설명
+ 美 국무부, 연방수사국(FBI), 국가안보국(NSA)은 北 Kimsuky 해킹조직의 스피어
피싱 메일 공격 사례 및 대응 방법이 포함된 사이버보안 권고문을 발표
+ Kimsuky 해킹조직은 사회공학적 해킹 공격을 숨기기 위해 이메일 서버 DMARC
레코드 정책을 악용하였으며, DMARC 관련 정책을 제대로 구성하지 않을 경우
스푸핑 된 이메일을 합법적인 도메인에서 발송된 것처럼 속일 수 있음
+ Kimsuky 해킹조직은 北 관련 정책을 다루는 기자, 학계 인사 및 기타 동아시아
전문가 등으로 위장한 스피어피싱 공격을 수행하고 있으며, 이러한 스피어피싱
활동을 통해 공격 대상자들의 기밀 문서, 연구결과, 통신 내용 등에 불법적으로
접근하여 외교전략 및 북한의 이해관계에 영향을 미칠 수 있는 정보를 수집
[美 정부 보안권고문 내용 일부]
[1] DMARC (Domain-based Message Authentication Reporting and Conformance): 이메일 발신자를
확인하고 이메일 보안을 강화하기 위한 인사이트를 제공하는 이메일 인증 프로토콜
Page | 3
1.1.3 위협 분석
1.1.3.1 공격 사례 1
+ 북한 사이버 공격자는 2023 년 말~2024 년 초 사이 미국 정부 관계자 및 국제
기구(USG) 관계자에게 컨퍼런스 초청 이메일을 발송하였으며, 수신자를 적극적
으로 유인 하기 위해 여행 경비 및 숙소, 기타 비용을 제공한다고 언급
Page | 4
+ 공격에 사용된 이메일의 헤더 확인 시 dkim(DomainKeys Identified Mail) 및 spf(Send
er Policy Framework)에 대해 ‘pass’ 를 반환하는데, 이는 공격자가 이메일을 보내기
위해 한 대학의 합법적인 이메일 클라이언트 액세스에 성공한 것으로 보여짐
+ 반면 보낸 사람 메일 주소(합법적인 싱크탱크 도메인)가 dkim 및 spf 레코드와
다르기 때문에 DMARC 프로토콜은 ‘fail’로 반환되나, ‘p=none’ 설정은 DMARC
검증에 실패했음에도 필터링이 수행되지 않는 정책으로 메일은 정상 발송됨
Page | 5
1.1.3.2 공격 사례 2
+ 2023 년 11 월 공격자는 합법적인 언론사 소속의 언론인으로 위장 한 뒤 북한과
관련된 문제의 전문가 의견을 구하고 있다는 내용의 스피어피싱 이메일을 발송
+ 특이한 점은 발송에 사용된 이메일이 곧 차단되어 접근이 어려워 진다는 내용을
공개적으로 밝히고, 또 다른 가짜 계정으로 회신을 보내달라고 요청함
Page | 6
[공격에 사용된 이메일 내용 (2)]
+ 공격자는 보내는 이메일 주소를 인증하는 DMARC 정책이 없는 점을 악용하였
으며, 합법적인 언론인 및 언론 매체의 도메인을 모두 스푸핑하여 공격에 사용
Page | 7
1.1.4 대응 가이드
- 인증되지 않은 이메일을 스팸으로 간주하도록 조직의 DMARC 정책을 다음 두 가지
구성 중 하나로 업데이트
· v=DMARC1; p=quarantine; (DMARC 에 실패한 이메일을 격리)
· v=DMARC1; p=reject; (DMARC 에 실패한 이메일을 차단)
- DMARC 결과에 대한 집계 보고서를 확인할 수 있도록 “RUA” 정책 필드 설정
- 신뢰할 수 없는 발신자의 첨부파일 및 링크 클릭 주의
- 단말 상에서 사용되는 안티 바이러스 프로그램을 최신버전으로 유지
- 사용되는 어플리케이션 또는 운영체제에 대하여 최신 패치를 반영
1.1.5 참고 자료
- https://www.nsa.gov/Press-Room/Press-Releases-Statements/Press-Release-
View/Article/3762915/nsa-highlights-mitigations-against-north-korean-actor-
email-policy-exploitation/
- https://www.ncsc.go.kr:4018/main/cop/bbs/selectBoardArticle.do?bbsId=SecurityA
dvice_main&nttId=133973&pageIndex=1&searchCnd2=#LINK
Page | 8
이란 해킹그룹의 광범위한 사회공학적 APT 공격 주의
1.2.1 키워드 및 요약
+ 키워드: Malware, Backdoor, Phishing, APT
+ 요약: 언론인 등으로 위장하여 백도어 악성코드를 유포하는 APT42 해킹그룹
1.2.2 위협 설명
+ 최근 이란 정부가 후원하는 해킹그룹으로 알려진 APT42 의 다양한 사회 공학적
기법을 사용한 악성코드 유포 공격 동향이 식별됨
+ 공격자는 미국과 이스라엘의 국방, 외교에 관련된 특정 인물들이나, 언론기관 및
학계, NGO, 인권 운동가 등 이란 정권에 위협이 된다고 인식되는 개인들을 타겟
으로 활동 하는 것으로 보여짐
+ 공격 시 소셜 엔지니어링과 스피어 피싱 공격을 사용하며, 궁극적으로는 대상의
시스템을 맞춤형 백도어 악성코드에 감염시켜 해당 조직 네트워크에 대한 초기
액세스 권한을 탈취하는 것으로 확인됨
+ 공격 대상 피해자의 계정 정보를 포함한 모든 데이터를 탈취한 뒤, 해당 기업의
네트워크나 클라우드 환경에 침투해 이메일, 문서 등 민감 정보 추가 탈취
+ 탐지 및 추적이 어렵도록 모든 상호작용 중 ExpressVPN node, Cloudflare 호스
팅 도메인 및 임시 VPS 서버를 사용
Page | 9
1.2.3 위협 분석
1.2.3.1 Microsoft, Yahoo 및 Google 자격 증명 수집
+ 공격자는 다양한 사회 공학적 기법을 이용한 맞춤형 스피어 피싱 캠페인을 통해
광범위한 자격 증명 수집 공격을 수행했으며, ‘정책 및 정부 부문’, ‘미디어 조직
및 언론인’, ‘NGO 및 인권 운동가’ 와 같이 크게 3 가지의 공격 클러스터를 사용
1) Cluster A, 언론 매체 및 NGO 로 위장
- 기간 : 2021 년 ~ 현재
- 표적 : 이란의 관심 지역에 있는 언론인, 연구원 및 지정학적 단체
- 위장 대상
: The Washington Post (U.S.), The Economist (UK), The Jerusalem Post (IL),
Khaleej Times (UAE), Azadliq (Azerbaijan), 기타 언론 단체 및 NGO.
- 공격 벡터
: 뉴스 기사 내용이 포함된 스피어 피싱 이메일을 통해 사용자를 가짜 Google
로그인 페이지로 Redirection 유도
Page | 10
: 스피어 피싱을 통해 회의 또는 합법적인 문서에 대한 초대장으로 위장한
링크 전달, 사용자 자격 증명 입력을 요구하며 입력 시 공격자에게 전송됨
Page | 11
1.2.3.2 Microsoft 365 환경 표적 공격
+ 잘 알려진 합법적인 NGO 기관의 고위 인사 등으로 위장하여 대상에게 접근하
였으며, 실제 컨퍼런스에 초대하는 자료들을 사용하여 피해자의 신뢰도를 높임
Page | 12
+ 공격자는 피해자가 로그인을 시도할 시 인증 메시지를 보내 MFA 토큰 정보를
획득하거나, 다른 피싱 사이트를 통해 SMS 로 전송된 MFA 토큰을 캡처 및 탈취
후 Microsoft 365 계정에 접근
+ 이후 OneDrive 문서, Outlook 메일을 포함하여 Microsoft 365 환경에서 다양한
데이터를 추출하였으며, 아래와 같은 추가 행위 수행
[APT42 의 공격 라이프사이클]
1.2.3.3 악성코드 기반 공격
+ 스피어 피싱 이메일과 함께 ‘TAMECAT’, ‘NICECURL’ 라는 이름의 맞춤형 백도어
악성코드를 배포하는 것이 확인되었으며, 감염 시 추가 악성코드를 Drop 하거나
수동으로 추가 명령을 실행하기 위한 인터페이스 제공
Malware name Description
Page | 13
1.2.4 침해 지표 (Indicators of Compromise)
Indicator type Indicator
Domain azadlliq[.]info
Domain businesslnsider[.]org
Domain ecomonist[.]org
Domain eocnomist[.]com
Domain foreiqnaffairs[.]com
Domain forieqnaffairs[.]com
Domain foreiqnaffairs[.]org
Domain israelhayum[.]com
Domain jpost[.]press
Domain jpostpress[.]com
Domain khaleejtimes[.]org
Domain khalejtimes[.]org
Domain maariv[.]net
Domain themedealine[.]org
Domain timesfisrael[.]com
Domain vanityfaire[.]org
Domain washinqtonpost[.]press
Domain ynetnews[.]press
Domain account-signin[.]com
Domain acconut-signin[.]com
Domain accounts-mails[.]com
Domain coordinate[.]icu
Domain dloffice[.]top
Domain dloffice[.]buzz
Domain myaccount-signin[.]com
Domain signin-acconut[.]com
Domain signin-accounts[.]com
Domain signin-mail[.]com
Domain signin-mails[.]com
Domain signin-myaccounts[.]com
Domain support-account[.]xyz
Domain accredit-validity[.]online
Domain activity-permission[.]online
Page | 14
Domain admin-stable-right[.]top
Domain admiscion[.]online
Domain admit-roar-frame[.]top
Domain advission[.]online
Domain affect-fist-ton[.]online
Domain avid-striking-eagerness[.]online
Domain beaviews[.]online
Domain besvision[.]top
Domain bloom-flatter-affably[.]top
Domain book-download[.]shop
Domain bq-ledmagic[.]online
Domain briview[.]online
Domain chat-services[.]online
Domain check-online-panel[.]live
Domain check-pabnel-status[.]live
Domain check-panel-status[.]live
Domain check-panel-status[.]live
Domain check-short-panel[.]live
Domain confirmation-process[.]top
Domain connection-view[.]online
Domain continue-meeting[.]site
Domain continue-recognized[.]online
Domain cvisiion[.]online
Domain drive-access[.]site
Domain endorsement-services[.]online
Domain fortune-retire-home[.]top
Domain geaviews[.]site
Domain glory-uplift-vouch[.]online
Domain go-conversation[.]lol
Domain go-forward[.]quest
Domain gview[.]site
Domain home-continue[.]online
Domain home-proceed[.]online
Domain identifier-direction[.]site
Domain indication-service[.]online
Page | 15
Domain join-paneling[.]online
Domain ksview[.]top
Domain last-check-leave[.]buzz
Domain live-project-online[.]live
Domain live-projects-online[.]top
Domain loriginal[.]online
Domain mail-roundcube[.]site
Domain meeting-online[.]site
Domain mterview[.]site
Domain nterview[.]site
Domain online-processing[.]online
Domain online-video-services[.]site
Domain ovcloud[.]online
Domain panel-check-short[.]live
Domain panel-check-short[.]live
Domain panel-live-check[.]online
Domain panel-short-check[.]live
Domain panel-view-short[.]online
Domain panel-view[.]live
Domain panel-views-cheking[.]live
Domain panelchecking[.]live
Domain paneling-viewing[.]live
Domain panels-views-ckeck[.]live
Domain pannel-get-data[.]us
Domain quomodocunquize[.]site
Domain recognize-validation[.]online
Domain reconsider[.]site
Domain revive-project-live[.]online
Domain short-url[.]live
Domain short-view[.]online
Domain shortenurl[.]online
Domain shortingurling[.]live
Domain shortlinkview[.]live
Domain shortulonline[.]live
Domain shorting-ce[.]live
Page | 16
Domain shoting-urls[.]live
Domain simple-process-static[.]top
Domain status-short[.]live
Domain stellar-roar-right[.]buzz
Domain sweet-pinnacle-readily[.]online
Domain tcvision[.]online
Domain title-flow-store[.]online
Domain twision[.]top
Domain ushrt[.]us
Domain verify-person-entry[.]top
Domain view-cope-flow[.]online
Domain view-panel[.]live
Domain view-pool-cope[.]online
Domain view-total-step[.]online
Domain viewstand[.]online
Domain viewtop[.]online
Domain virtue-regular-ready[.]online
Domain we-transfer[.]shop
Domain m85[.]online
Domain s51[.]online
Domain s59[.]site
Domain s20[.]site
Domain d75[.]site
Domain bitly[.]org[.]il
Domain litby[.]us
Domain daemon-mailer[.]co
Domain daemon-mailer[.]info
Domain email-daemon[.]biz
Domain email-daemon[.]biz[.]tinurls[.]com
Domain email-daemon[.]online[.]tinurls[.]com
Domain email-daemon[.]online
Domain email-daemon[.]site
Domain mailer-daemon[.]info
Domain mailerdaemon[.]online
Domain mailer-daemon[.]us
Page | 17
Domain aspenlnstitute[.]org
Domain mccainlnstitute[.]org
Domain washingtonlnstitute[.]org
Domain youtransfer[.]live
Domain g-online[.]org
Domain online-access[.]live
Domain youronlineregister[.]com
Domain drive-file-share[.]site
Domain prism-west-candy[.]glitch[.]me
Domain tnt200[.]mywire[.]org
Domain accurate-sprout-porpoise[.]glitch[.]me
FileHash-MD5 d5a05212f5931d50bb024567a2873642
FileHash-MD5 347b273df245f5e1fcbef32f5b836f1d
FileHash-MD5 2f6bf8586ed0a87ef3d156124de32757
FileHash-MD5 13aa118181ac6a202f0a64c0c7a61ce7
FileHash-MD5 c23663ebdfbc340457201dbec7469386
FileHash-MD5 853687659483d215309941dae391a68f
FileHash-MD5 d7bf138d1aa2b70d6204a2f3c3bc72a7
FileHash-MD5 081419a484bbf99f278ce636d445b9d8
FileHash-MD5 c3b9191f3a3c139ae886c0840709865e
FileHash-MD5 dd2653a2543fa44eaeeff3ca82fe3513
FileHash-MD5 9c5337e0b1aef2657948fd5e82bdb4c3
1.2.5 대응 가이드
- 위 IOC 상에 발견된 정보에 대하여 업무 영향도 평가 후 설정 가능한 보안 솔루션을
통해 탐지 및 차단 설정
- 신뢰할 수 없는 발신자의 첨부파일 및 링크 클릭 주의
- 단말 상에서 사용되는 안티 바이러스 프로그램을 최신버전으로 유지
- 사용되는 어플리케이션 또는 운영체제에 대하여 최신 패치를 반영
1.2.6 참고 자료
- https://cloud.google.com/blog/topics/threat-intelligence/untangling-iran-apt42-
operations?hl=en
Page | 18
온라인 게임 리소스 팩을 통해 유포되는 zEus Stealer
1.3.1 키워드 및 요약
+ 키워드: Malware, Backdoor, Infostealer
+ 요약: 온라인 게임의 리소스 패키지를 이용하여 유포되는 zEus Stealer 악성코드
1.3.2 위협 설명
+ 최근 zEus Stealer 악성코드가 YouTube 를 통해 광고 및 공유되는 특정 게임의
리소스 팩에 숨겨져 유포되는 동향이 확인됨
+ 게임 리소스 팩은 사용자들의 즐거움과 가치를 높이기 위해 게임 내부에 사용된
일부 모양(배경, 사물 등)이나 동작 등을 변경할 수 있도록 하는 패키지로, 이는
사이버 공격자가 악성코드를 배포하는데 악용되기도 함
+ 최근 확인된 공격에서 인기 게임인 Minecraft 소스 팩을 통해 zEus Stealer 악성
코드가 유포되었으며, WinRAR 자동 추출 파일에 Windows 화면 보호기 파일로
위장한 상태로 포함됨
+ zEus Stealer 는 감염 시 피해자와 커뮤니케이션 (채팅)기능 및 다양한 민감정보
들을 수집하며, C2 서버를 통해 추가 명령 수신 및 수집 정보 유출에 사용
Page | 19
1.3.3 위협 분석
+ 공격에 사용된 Minecraft 소스 팩에는 Windows 화면 보호기(.scr) 파일로 위장한
악성코드(zEus Stealer)가 존재함
[탈취 정보 저장 경로]
Page | 20
[탈취 대상 정보 리스트 상세]
+ 또한 특정 경로에 다수의 스크립트 파일을 Drop 후 실행하여 추가 행위를 수행
하며, 일부는 지속성을 설정하여 부팅 시 마다 자동 실행되도록 등록됨
Page | 21
[Drop 된 스크립트 파일 및 각 기능]
+ 위에서 Drop 된 RAT.bat 파일은 COMMANDS.txt 파일에 C2 서버로부터 수신된
명령을 다운로드 후 실행하며, 실행 결과는 History.txt 에 기록되고 Webhook 를
통해 공격자에게 전송됨
[화면 잠금 실행 명령]
Domain onlinecontroler[.]000webhostapp[.]com
Domain panel-controller[.]000webhostapp[.]com
hxxps[:]//discord[.]com/api/webhooks/1212818346157015070/2v0xe2vrxFGv65MRE9qvICmsJw-
URL
5e_pq_28xscGybiY1ScEyEiSKMC_zFffr3KkuAimX
hxxps[:]//discord[.]com/api/webhooks/1212821302671581224/L30ylYucowXO_rm7sUpdwA8DLbYet6Nyv
URL
UsNV60EP1o1HnF-2M-UPsvatVGQY0ctO9Vk
hxxps[:]//discord[.]com/api/webhooks/1212818346157015070/2v0xe2vrxFGv65MRE9qvICmsJw-
URL
5e_pq_28xscGybiY1ScEyEiSKMC_zFffr3KkuAimX
hxxps[:]//discord[.]com/api/webhooks/1212821302671581224/L30ylYucowXO_rm7sUpdwA8DLbYet6Nyv
URL
UsNV60EP1o1HnF-2M-UPsvatVGQY0ctO9Vk
hxxps[:]//discord[.]com/api/webhooks/1212818346157015070/2v0xe2vrxFGv65MRE9qvICmsJw-
URL
5e_pq_28xscGybiY1ScEyEiSKMC_zFffr3KkuAimX
hxxps[:]//discord[.]com/api/webhooks/1216834085205311708/2Rx-yUIHeCnuhuLskpz25Ghf-
URL
YWeP6Si6oiUSN4SMQYNkeJfVJiYNC4Xy_Oj0ZNQ1qTC
Page | 22
hxxps[:]//discord[.]com/api/webhooks/1117543783714787458/U_DdPjJm7rM7Q2asPiMISLTrbd3oGw3oV
URL
Q25_XU37HCmM6QIQ804SJAH4_h0AT2Vr_cv
hxxps[:]//discord[.]com/api/webhooks/1191890861622050848/iJVVE3x3xilf4TeZNiERydXZPF5TRE1UhM4E
URL
w06uHn95b0k0KDViw3YnhdynrXn17OKa
hxxps[:]//discord[.]com/api/webhooks/1215746939635892344/CmKTGdIvizEpR4FgvvLJm3Bcbjg3AKlNGlw
URL
d2S-yIO-GRBXZZbn0OwG39kKnx7mDur4T
hxxps[:]//discord[.]com/api/webhooks/1223978005127364659/3E0hHtDqDOHQJBaG8ifspilk2mY8E1s4Ke
URL
QY36inBq-tq5q6aZex8U0YJVxVlloFJj5X
hxxps[:]//discord[.]com/api/webhooks/1224075124005929020/kA4IFZrIXBl_d1Y4I0sMHhF1cZzXvC-
URL
yEo5HzSk6Jzq_I0k1PCc1idn4FmqSC2UMljdD
FileHash-SHA256 aabfbef31ab073d99c01ecae697f66bbf6f14aa5d9c295c7a6a548879381fb24
FileHash-SHA256 c9687714cf799e5ce9083c9afa3e622c978136d339fc9c15e272b0df9cd7e21c
FileHash-SHA256 d9d394cc2a743c0147f7c536cbb11d6ea070f2618a12e7cc0b15816307808b8a
FileHash-SHA256 c2c8a7050b28d86143f4d606a6d245b53c588bc547a639094fce857962246da4
FileHash-SHA256 be9ea302bcfb52fbfdf006b2df8357388cd4c078059aabc5b5928676c3361e50
FileHash-SHA256 9d3409852348caa65d28e674008dd6bb986eed4fb507957c7a8b73a41e00be70
FileHash-SHA256 b6e8b612e99c54dd98af1756f7c9b8a8c19e31ed9b2836878c2a5144563ff1b2
FileHash-SHA256 8a2f6d5f6cf7d1a7534454e3c3007337b71d7da470e86f7636eb02d68b2db8cc
FileHash-SHA256 df6156fdbbcc7b6f8c9cb4c5c1b0018fc3f1e1ca7d949b5538ec27dc86d026a4
FileHash-SHA256 5840f3e43a0c635be94b5fbf2e300d727545371b582361a52682b4a9e08bcebd
FileHash-SHA256 51ede75315d858209f9aa60d791c097c18d38f44b9d050b555ff1f4de0ae672d
FileHash-SHA256 d1865d2aaf11e3f8bccefe9c4847510234f14aaa5378ce9e8e97553537cf2ca1
FileHash-SHA256 9ba19d614af029c3c198b576ccdf1de87d80ac14b12103e8a15376229a2a7860
FileHash-SHA256 6063c8285e13d10eabbe363e2ab0d8748bcd595b470698e0cffee31ba255a566
FileHash-SHA256 d1a18b436f947611914ced09e4465b49807cec4f3a62b0973c9017b6d82c9f70
FileHash-SHA256 1cdd580176eeb4342a0333b50454da061e473358274e6e543df1411186c12042
FileHash-SHA256 ed59a797521db06abdf4c88dad7b1666e5978aaa6670a5952a55b7e11f7b790e
FileHash-SHA256 2ceae724f0e96e2d8c47296dd1e73ac592e22ee3288eabf11c8d039c6d6d4f8b
FileHash-SHA256 03983b56d8b1a6cc43109f6cd67a13666367595a2ea07766127cb1fe4d4bb1a5
FileHash-SHA256 9940da9d02d29489c3e26d27feb15b6f4bbf49547b962592125441917c952f12
FileHash-SHA256 fbf967295dac00f1e9cb67e9a40b6729b003dd12cf022eb15d626df09716442d
FileHash-SHA256 4e0a96ab28570936d095ac3910dcd239c7ceeb2b38a070468404584f8b902dd1
FileHash-SHA256 20009fd157a898ad6d50fae6b8127056c5b1f50e31f90f01d2e6c13e6b4c38f8
1.3.5 대응 가이드
- 위 IOC 상에 발견된 정보에 대하여 업무 영향도 평가 후 설정 가능한 보안 솔루션을
통해 탐지 및 차단 설정
Page | 23
- 신뢰할 수 없는 발신자의 첨부파일 및 링크 클릭 주의
- 단말 상에서 사용되는 안티 바이러스 프로그램을 최신버전으로 유지
- 사용되는 어플리케이션 또는 운영체제에 대하여 최신 패치를 반영
1.3.6 참고 자료
- https://www.fortinet.com/blog/threat-research/zeus-stealer-distributed-via-
crafted-minecraft-source-pack
Page | 24
2 관련 용어
- 피싱 (Phishing): 전자우편 또는 메신저를 통해 신뢰할 수 있는 사람 또는 기업이
보낸 메시지인 것처럼 가장하여, 비밀번호 및 신용카드 정보와 같이 기밀을 요하는
정보를 부정하게 얻으려는 social engineering 공격의 한 종류
- 스피어 피싱 (Spear Phishing): 특정 기관이나 특정인을 표적으로 삼아 악성메일을
발송하고, 컴퓨터를 감염시켜 정보 등을 탈취하는 ‘표적형 악성 메일’ 공격
- DMARC (Domain-based Message Authentication Reporting and Conformance):
이메일 발신자를 확인하고 이메일 보안을 강화하기 위한 인사이트를 제공하는
이메일 인증 프로토콜
- 백 도어 (Backdoor): 일반적인 인증을 통과, 원격 접속을 보장하고, plaintext 의
접근을 취득하는 등의 행동을 들키지 않고 행하는 방법
- 트로이목마 (Trojan): 외형적으로는 정상 프로그램 같아 보이지만 시스템 파괴 등의
악의적인 행위를 포함하고 있는 악성 프로그램
- 지능형 지속 공격 (APT): 조직이나 개인이 기업/조직 등의 특정 대상을 선정 후
다양한 IT 기술과 공격방식을 기반으로 지능적이고 지속적으로 공격하는 방식
- MFA (Multi-Factor Authentication): ‘다중 요소 인증’ 이라는 뜻으로 적어도 두
가지 이상의 별도 인증 매커니즘에 성공적으로 확인된 이후 접근 권한이 주어지는
접근 제어 방식
- 인포스틸러 (Infostealer): 트로이목마 악성코드의 한 종류로 자격증명 정보 및
문서, 파일 등 정보 탈취를 목적으로 하는 악성코드
- 원격 관리 도구 (RAT): 본래 원격 관리 도구(Remote Administrator Tool)를 뜻하나
공격자에게 컴퓨터 통제권을 넘겨주게 되는 악성코드로 악용될 수 있음
- C2 (C&C 서버): 악성코드(봇넷 등)을 제어하기 위해 사용되는 명령 제어 서버
Page | 25
End of Document
Page | 26