[카드뉴스] 전 세계를 뒤흔드는 LotL 공격

2024-10-02 14:31
  • 카카오톡
  • 네이버 블로그
  • url
















“보안을 강화할 시점, LotL 공격을 이해하고 방어하라”

‘LotL(Living off the Land) 공격’이란 시스템에 존재하는 합법적인 도구와 기능을 악용해 악성 활동을 수행하는 사이버 공격 유형이다. 이는 시스템의 정상적인 기능을 악용하기 때문에 탐지와 대응이 더 어렵다. LotL 공격은 보안 통제를 우회하고, 악성코드 사용을 최소화하면서 광범위한 피해를 유발한다.

LotL 공격 과정을 4단계로 살펴보자. 먼저 ‘초기 접근’에서는 피싱 이메일, 악성 웹사이트, 감염된 USB 등으로 시스템에 진입한다. 두 번째 단계인 ‘도구 악용’에서는 시스템에 설치된 스크립트 언어, 명령어 인터페이스 등 정상적인 도구를 사용해 공격을 시작한다.

세 번째 단계인 ‘내부 확산’에서는 네트워크 내에서 신뢰할 수 있는 도구를 활용해 이동하며, 권한을 상승시켜 더 많은 시스템을 장악한다. 마지막으로 ‘은밀한 활동’에서는 정상적인 시스템 활동처럼 보이도록 해 탐지를 피하면서 예약 작업, 레지스트리 수정 등을 통해 지속한다.

LotL 공격에 자주 사용되는 도구는 4가지로 ‘PowerShell’, ‘WMI’, ‘MSHTA’, ‘CMD/Batch Script’ 등이 있다. 먼저 PowerShell은 윈도 시스템 관리용 명령어 도구로 악성 스크립트를 실행한다. WMI는 시스템 관리 및 원격 명령 실행을 지원하는 도구로, 정보를 수집하거나 명령을 실행하는 데 사용된다. MSHTA는 HTML 및 스크립트를 실행하는 도구로, 자바스크립트와 비주얼 베이직 스크립트를 악성코드로 실행한다. CMD/Batch Script는 윈도 명령어 프롬프트에서 실행되는 배치 파일로, 악성 명령을 자동화하는 역할을 한다.

LotL 공격사례로 무엇이 있는지 살펴보자. 북한 해킹조직이 국내 반도체 기업을 공격한 일이 있었다. 북한 해킹조직은 국내 반도체 기업의 서버에 침투해 설계도면과 현장 사진을 탈취했다. 이들은 LotL 기법을 활용, 시스템 내 정상 프로그램을 악용해 탐지를 피했다.

LotL 공격과 관련해 가장 기본적이면서도 궁금한 점을 Q&A 식으로 묶어봤다. 먼저, 백신 소프트웨어로 LotL 공격을 탐지할 수 없는가? LotL 공격은 시스템에 이미 설치된 합법적인 도구를 악용하기 때문에 기존 백신으로는 공격을 탐지하기 어렵다. 시그니처 기반 탐지 방식의 한계를 넘어서는 보안 솔루션이 필요하다.

개인적으로 컴퓨터를 사용하는데도 위험한가? LotL 공격은 주로 기업을 목표로 하지만, 사이버 위협은 모든 사용자에게 위험이 될 수 있다. 특히, 시스템에 취약점이 있으면 누구나 공격 대상이 될 수 있다.

LotL 공격이 의심될 때 어떻게 해야 하는가? 시스템에서 성능 저하나 비정상적인 활동이 감지되면 즉시 인터넷 연결을 끊고, 보안 전문가의 도움을 받아야 한다. 신속한 대응이 피해를 최소화하는데 중요하다.

LotL 공격에 대한 대응방안은 무엇이 있을까? 크게 4가지로 요약할 수 있다. 먼저 시스템에 접근할 수 있는 사용자 권한을 최소화해 악성 행위를 방지한다. PowerShell, WMI 등의 도구 사용을 제한하거나 모니터링해 악용을 차단한다. 비정상적인 시스템 활동을 실시간으로 추적하고 탐지한다. 마지막으로 정상적인 시스템 업데이트와 보안 패치를 통해 취약점을 해결한다.
[제작=서울여자대학교 정보보호학과 제21대 학생회 플래그]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

헤드라인 뉴스

TOP 뉴스

이전 스크랩하기


과월호 eBook List 정기구독 신청하기

    • 다후아테크놀로지코리아

    • 인콘

    • 엔텍디바이스코리아

    • 이노뎁

    • 다후아테크놀로지코리아

    • 아이디스

    • 씨프로

    • 웹게이트

    • 씨게이트

    • 하이크비전

    • 한화비전

    • ZKTeco

    • 비엔에스테크

    • 비엔비상사

    • 원우이엔지

    • 지인테크

    • 지오멕스소프트

    • 이화트론

    • 다누시스

    • 테크스피어

    • 렉스젠

    • 슈프리마

    • 인텔리빅스

    • 시큐인포

    • 미래정보기술(주)

    • 동양유니텍

    • 비전정보통신

    • 경인씨엔에스

    • 트루엔

    • 성현시스템

    • 한결피아이에프

    • 프로브디지털

    • 디비시스

    • 세연테크

    • 스피어AX

    • 투윈스컴

    • 위트콘

    • 유에치디프로

    • 구네보코리아주식회사

    • 주식회사 에스카

    • 넥스트림

    • 포엠아이텍

    • 세렉스

    • 탈레스

    • 에스지에이솔루션즈

    • 로그프레소

    • 윈스

    • 포티넷코리아

    • 신우테크
      팬틸드 / 하우징

    • 에프에스네트워크

    • 유투에스알

    • 케이제이테크

    • 알에프코리아

    • 창성에이스산업

    • 아이엔아이

    • 미래시그널

    • 새눈

    • 에스에스티랩

    • 현대틸스
      팬틸트 / 카메라

    • 이스트컨트롤

    • 네티마시스템

    • 태정이엔지

    • (주)일산정밀

    • 넥스텝

    • 한국씨텍

    • 두레옵트로닉스

    • 에이티앤넷

    • 지에스티엔지니어링
      게이트 / 스피드게이트

    • 에이앤티글로벌

    • 포커스에이치앤에스

    • 신화시스템

    • 휴젠

    • 메트로게이트
      시큐리티 게이트

    • 글로넥스

    • 엘림광통신

    • 세환엠에스(주)

    • 유진시스템코리아

    • 카티스

    • 유니온커뮤니티

Copyright thebn Co., Ltd. All Rights Reserved.

MENU

회원가입

Passwordless 설정

PC버전

닫기