공격자들이 가장 좋아하는 도구? 윈도우 내장 유틸리티의 위험성

최근 보안 사고 분석 결과, 사이버 범죄자들이 시스템 침투를 위해 마이크로소프트의 신뢰받는 도구를 광범위하게 악용하고 있다는 사실이 밝혀졌습니다. 공격자들이 합법적인 시스템 바이너리를 사용하는 이른바 "Living off the Land (LOTL)" 전술은 이미 알려진 바 있지만, 최근 데이터는 그 규모가 예상보다 훨씬 크다는 것을 보여줍니다.

Netsh.exe, 예상치 못한 악용 1위

가장 많이 악용되는 도구 중에는 PowerShell, wscript.exe 등 시스템 관리자에게 익숙한 것들이 있습니다. 하지만 예상외로 netsh.exe가 1위를 차지했습니다. netsh.exe는 네트워크 구성을 관리하는 명령줄 유틸리티로, 주요 공격의 3분의 1에서 발견되었습니다. 방화벽 및 인터페이스 관리에 여전히 사용되지만, 공격 체인에 자주 등장하는 것은 그 잠재적인 악용 가능성이 과소평가되고 있음을 시사합니다.

PowerShell의 양면성

PowerShell은 합법적인 작업과 악성 활동 모두에서 중요한 역할을 합니다. 96%의 조직에서 PowerShell을 사용하고 있지만, 73%의 엔드포인트에서 실행되고 있는 것으로 나타났습니다. 이는 관리 용도만으로는 설명하기 어려운 수치입니다. Bitdefender는 "눈에 보이는 인터페이스 없이 PowerShell 코드를 실행하는 타사 애플리케이션"이 일반적인 원인이라고 밝혔습니다. 이러한 이중성은 정상적인 사용과 악성 사용 간의 경계를 모호하게 만들어 탐지를 어렵게 합니다.

WMIC의 부활?

마이크로소프트가 지원을 중단한 wmic.exe의 지속적인 사용도 놀라운 점입니다. wmic.exe는 시스템 정보를 얻기 위해 소프트웨어에 의해 호출되는 경우가 많으며, 합법적인 도구로 보이기 때문에 공격자들이 숨어들기에 매력적입니다.

공격 표면 축소의 필요성

이러한 문제를 해결하기 위해 Bitdefender는 PHASR (Proactive Hardening and Attack Surface Reduction)을 개발했습니다. PHASR은 도구 자체를 차단하는 것 이상으로, 공격자들이 사용하는 특정 행위를 감시하고 중단합니다. 하지만 이 접근 방식은 trade-off를 수반합니다. "함께 살 수도 없고, 없이 살 수도 없는" 근본적인 딜레마는 여전히 해결되지 않았습니다.

맺음말

공격자들이 시스템에 이미 존재하는 도구를 악용하는 LOTL 공격은 점점 더 정교해지고 있습니다. 기존의 보안 솔루션으로는 이러한 공격을 효과적으로 막기 어렵습니다. 따라서 조직은 공격 표면을 줄이고, 행위 기반 탐지 기술을 강화하며, 보안 모니터링을 강화하여 LOTL 공격에 대한 방어력을 높여야 합니다.