파일리스(Fileless) 사이버공격의 분류 모델

이경민, 심신우, 조병모, 김태규, 김경곤

http://doi.org/10.5626/JOK.2020.47.5.454

2000년 후반 이후로 국가에서 후원하는 조직적이고 고도화된 사이버 공격이 지속되고 있으며 공격자들이 남긴 흔적을 토대로 공격 기술을 분석하고 대응하는 기술들 또한 발전하고 있다. 사이버 공격자들은 이러한 분석과 대응으로부터 자신들의 공격을 숨기기 위해 다양한 기술을 사용한다. 특히, 공격에 사용되는 파일을 공격 이후에 시스템에 남기지 않는 파일리스(fileless) 사이버공격이 증가하고 있는 추세다. 파일리스 사이버 공격은 방어자의 입장에서 분석해야 할 실행파일이 남아 있지 않아 분석이 어려우며, 백신에서도 검사하기 위한 파일이 존재하지 않아 악성코드 탐지가 어렵다. 본 논문에서는 은닉화되고 있는 파일리스 사이버공격을 조사 및 분석하고, 파일리스 사이버공격 기법을 분류하기 위해 사이버 킬 체인(Cyber Kill Chain)을 바탕으로 모델링을 제시한다. 이를 통해 새로운 파일리스 사이버공격이 발생했을때 보다 신속하게 공격유형을 파악하여 대응할 수 있을 것으로 기대한다.