“보안을 강화할 시점, LotL 공격을 이해하고 방어하라”

‘LotL(Living off the Land) 공격’이란 시스템에 존재하는 합법적인 도구와 기능을 악용해 악성 활동을 수행하는 사이버 공격 유형이다. 이는 시스템의 정상적인 기능을 악용하기 때문에 탐지와 대응이 더 어렵다. LotL 공격은 보안 통제를 우회하고, 악성코드 사용을 최소화하면서 광범위한 피해를 유발한다.

LotL 공격 과정을 4단계로 살펴보자. 먼저 ‘초기 접근’에서는 피싱 이메일, 악성 웹사이트, 감염된 USB 등으로 시스템에 진입한다. 두 번째 단계인 ‘도구 악용’에서는 시스템에 설치된 스크립트 언어, 명령어 인터페이스 등 정상적인 도구를 사용해 공격을 시작한다.

세 번째 단계인 ‘내부 확산’에서는 네트워크 내에서 신뢰할 수 있는 도구를 활용해 이동하며, 권한을 상승시켜 더 많은 시스템을 장악한다. 마지막으로 ‘은밀한 활동’에서는 정상적인 시스템 활동처럼 보이도록 해 탐지를 피하면서 예약 작업, 레지스트리 수정 등을 통해 지속한다.

LotL 공격에 자주 사용되는 도구는 4가지로 ‘PowerShell’, ‘WMI’, ‘MSHTA’, ‘CMD/Batch Script’ 등이 있다. 먼저 PowerShell은 윈도 시스템 관리용 명령어 도구로 악성 스크립트를 실행한다. WMI는 시스템 관리 및 원격 명령 실행을 지원하는 도구로, 정보를 수집하거나 명령을 실행하는 데 사용된다. MSHTA는 HTML 및 스크립트를 실행하는 도구로, 자바스크립트와 비주얼 베이직 스크립트를 악성코드로 실행한다. CMD/Batch Script는 윈도 명령어 프롬프트에서 실행되는 배치 파일로, 악성 명령을 자동화하는 역할을 한다.

LotL 공격사례로 무엇이 있는지 살펴보자. 북한 해킹조직이 국내 반도체 기업을 공격한 일이 있었다. 북한 해킹조직은 국내 반도체 기업의 서버에 침투해 설계도면과 현장 사진을 탈취했다. 이들은 LotL 기법을 활용, 시스템 내 정상 프로그램을 악용해 탐지를 피했다.

LotL 공격과 관련해 가장 기본적이면서도 궁금한 점을 Q&A 식으로 묶어봤다. 먼저, 백신 소프트웨어로 LotL 공격을 탐지할 수 없는가? LotL 공격은 시스템에 이미 설치된 합법적인 도구를 악용하기 때문에 기존 백신으로는 공격을 탐지하기 어렵다. 시그니처 기반 탐지 방식의 한계를 넘어서는 보안 솔루션이 필요하다.

개인적으로 컴퓨터를 사용하는데도 위험한가? LotL 공격은 주로 기업을 목표로 하지만, 사이버 위협은 모든 사용자에게 위험이 될 수 있다. 특히, 시스템에 취약점이 있으면 누구나 공격 대상이 될 수 있다.

LotL 공격이 의심될 때 어떻게 해야 하는가? 시스템에서 성능 저하나 비정상적인 활동이 감지되면 즉시 인터넷 연결을 끊고, 보안 전문가의 도움을 받아야 한다. 신속한 대응이 피해를 최소화하는데 중요하다.

LotL 공격에 대한 대응방안은 무엇이 있을까? 크게 4가지로 요약할 수 있다. 먼저 시스템에 접근할 수 있는 사용자 권한을 최소화해 악성 행위를 방지한다. PowerShell, WMI 등의 도구 사용을 제한하거나 모니터링해 악용을 차단한다. 비정상적인 시스템 활동을 실시간으로 추적하고 탐지한다. 마지막으로 정상적인 시스템 업데이트와 보안 패치를 통해 취약점을 해결한다.
[제작=서울여자대학교 정보보호학과 제21대 학생회 플래그]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>