기사 대표 이미지

[보안 경보] 신뢰할 수 있는 서비스로 위장한 정교한 사이버 공격 주의

코드명 APT 그룹으로 알려진 중국계 해킹 조직이 윈도우 운영체제와 구글 드라이브 등 신뢰받는 클라우드 서비스를 악용하여 타겟 기관을 공격하는 새로운 수법이 확인되었습니다. 이번 공격의 핵심은 보안 솔루션의 눈을 피하기 위해 정상적인 트래픽 속에 악성 코드를 숨기는 'Living off the Land' 전략을 사용한다는 점입니다.



1. 공격 메커니즘 분석: 왜 탐지가 어려운가?

이번 공격의 가장 무서운 점은 공격자가 악성 페이로드를 배포할 때 구글 드라이으로와 같은 합법적인 클라우드 인프라를 사용한다는 것입니다. 보안 장비 입장에서 구글 드라이브로의 트래픽은 일반적인 업무용 트래픽으로 분류되기 때문에, 악성 파일의 다운로드를 탐지하기가 매우 어렵습니다.

공격 프로세스는 다음과 같이 진행됩니다:

  • 초기 침투: 윈도우 시스템의 알려진 취약점을 이용하거나 피싱 메일 등을 통해 초기 접근 권한을 획득합니다.
  • 페이로드 은닉: 악성 스크립트와 실행 파일을 구글 드라이브 내의 특정 폴더에 업로드하여 대기시킵니다.
  • 드롭퍼(Dropper) 실행: 시스템에 침투한 초기 악성 코드가 구글 드라이브 API를 호출하여 숨겨진 파일을 다운로드합니다.
  • 권한 상승 및 확산: 다운로드된 페이로드는 윈도우의 취약점을 추가로 이용하여 시스템 권한을 탈취하고 내부 네트워크로 확산합니다.


2. 기술적 관점에서의 위협 요소

이번 공격은 단순한 악성코드 유포를 넘어, C2(Command and Control) 서버의 은닉에 초점을 맞추고 있습니다. 공격자는 별도의 악성 도메인을 사용하는 대신, 신뢰할 수 있는 클라우드 서비스의 URL을 C2 서버의 통신 경로로 활용함으로써 네트워크 보안 장비의 화이트리스트 탐지를 우회합니다.



3. 대응 방안 및 권고 사항

기업 및 기관의 보안 담당자는 다음과 같은 방어 전략을 수립해야 합니다.

  • 행위 기반 탐지(Behavioral Analysis) 강화: 파일의 시그니처뿐만 아니라, 프로세스가 네트워크 연결을 시도하는 패턴, 비정상적인 API 호출 등 행위 중심의 모니터링을 강화해야 합니다.
  • 엔드포인트 보안(EDR) 고도화: 윈도우 시스템 내에서 발생하는 비정상적인 스크립트 실행(PowerShell, CMD 등) 및 프로세스 인젝션 행위를 실시간으로 탐지할 수 있는 EDR 솔루션을 운용해야 합니다.
  • 클라우드 트래픽 가시성 확보: 단순한 도메인 차단을 넘어, 클라우드 저장소로 향하는 트래픽 중 대량의 데이터 전송이나 반복적인 파일 다운로드가 발생하는 패턴을 분석할 수 있는 가시성을 확보해야 합니다.
  • 패치 관리 체계 엄수: 알려진 취약점을 이용한 초기 침투를 막기 위해 OS 및 주요 소프트웨어의 최신 보안 패치를 즉시 적용하는 프로세스를 유지해야 합니다.


결론적으로, 공격자가 신뢰할 수 있는 서비스를 공격 도구로 활용하는 만큼, 보안 경계는 이제 네트워크의 끝단(Endpoint)과 데이터의 흐름(Data Flow)으로 확장되어야 합니다.