서론
새벽 3시, 보안 운영 센터(SOC)의 모니터에는 평소와 다를 바 없는 녹색 로그들이 주욱 흐르고 있습니다. 방화벽은 정상적으로 트래픽을 필터링하고 있었고, 침입 탐지 시스템(IDS)은 심각한 경고를 울리지 않았습니다. 하지만 며칠 뒤, 핵심 R&D 서버의 설계도가 유출되었다는 보고가 들어옵니다. 정찰(Reconnaissance)부터 탈취(Exfiltration)까지의 전 과정이 당신의 보안 장비를 ‘정상적인 관리자 활동’으로 위장하며 빠져나갔기 때문입니다.
이것은 단순한 가상 시나리오가 아닙니다. NSA(미국 국가안보국)가 최근 동맹국들과 함께 발표한 공동 자문 보고서에 따르면, 중국 연계 위협 행위자(China-Nexus Threat Actors)는 정교한 기술을 통해 방어자의 시야를 피하고 있습니다. 이들은 단순한 해커가 아닌, 국가 차원의 자원과 인프라를 바탕으로 장기간 잠복하며 지식재산권과 민감한 정보를 노리는 APT(Advanced Persistent Threat) 그룹입니다. 이 글에서는 NSA가 경고한 이들의 실제 공격 기법을 분석하고, “보이지 않는 침입"을 어떻게 포착할 것인지에 대한 실전적인 대응 전략을 다룹니다.
본론
공격 시나리오: 보이지 않는 침투의 해부학
⚠️ 윤리적 경고: 본 섹션에서 설명하는 공격 기법 및 메커니즘은 시스템의 취약점을 이해하고 방어 전략을 수립하기 위한 학습 목적으로만 제공됩니다. 승인되지 않은 시스템에서의 시험은 엄격히 금지됩니다.
중국 연계 APT 그룹(예: APT41, Volt Tycoon 등)은 주로 노출된 인터넷 facing 서비스나 방치된 VPN 장비를 초기 침투 경로로 활용합니다. 이들은 익스플로잇 성공 후 즉각적인 파괴 활동보다는, ‘Living off the Land’(LoL) 전략을 사용합니다. 즉, 시스템에 이미 설치된 관리 도구(예: PowerShell, WMI, PowerShell Remoting)를 악용하여 악성코드 설치를 회피합니다.
가장 대표적인 시나리오는 다음과 같습니다. 공격자는 취약한 웹 서버나 VPN 장비의 익스플로잇을 통해 웹 쉘(Web Shell)을 심습니다. 이 웹 쉘은 트래픽을 정상적인 HTTP/HTTPS 트래픽으로 위장합니다. 이후 내부 네트워크에서 도메인 관리자 권한을 탈취한 뒤, 정상적인 원격 관리 프로토콜(RDP, SMB)을 이용해 횡적 이동(Lateral Movement)을 감행합니다.
이 과정에서 공격자의 행동 흐름을 단순화하면 다음과 같습니다.
| |
탐지 로직: 정상 속에 숨겨진 비정상 찾기
이러한 공격을 탐지하기 위해서는 특정 해시값이나 시그니처에 의존하는 전통적 백신이 아닌, 행동 기반의 탐지 로직이 필요합니다. NSA 보고서는 특히 **‘의심스러운 프로세스 실행 체인’**과 **‘비정상적인 네트워크 연결’**을 조기 경보 지표로 삼을 것을 권고합니다.
예를 들어, 웹 서버 프로세스(예: w3wp.exe 또는 java.exe)가 cmd.exe나 powershell.exe와 같은 시스템 셸을 호출하는 경우는 매우 드뭅니다. 이러한 행위는 웹 쉘을 통해 명령어가 실행되고 있다는 강력한 신호입니다.
다음은 윈도우 이벤트 로그(Security Log 4688: Process Creation)를 분석하여, 웹 서비스 프로세스가 자식 프로세스로 셸을 생성하는 비정상적인 행위를 탐지하는 Python 스크립트 예제입니다.
| |
이 코드는 방어자가 SIEM(Security Information and Event Management) 시스템에 적용할 수 있는 핵심 로직을 보여줍니다. 단순히 “악성 파일"을 찾는 것이 아니라, “프로세스 간의 부자(Parent-Child) 관계"가 논리적인지를 검증하는 것입니다.
실무 적용 가이드: TTP 기반 방어 전략
단순한 탐지를 넘어, NSA의 지침에 따라 체계적으로 방어 태세를 갖추기 위해서는 공격자의 TTP(Tactics, Techniques, and Procedures)를 이해하고 이를 차단하는 계층적 방어가 필요합니다.
다음은 일반적인 관리자 활동과 중국 연계 APT의 주요 활동 패턴을 비교한 분석표입니다. 이