[보안칼럼] 지금 해킹을 이해하려면, LOLBAS부터 다시 봐야 한다 작성일 04-08 3 목록 <div id="layerTranslateNotice" style="display:none;"></div> <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> <section dmcf-sid="8K5k9dZvtj"> <figure class="figure_frm origin_fig" contents-hash="a5eade2b09e023ade5abcb5f924c49a8db54192bb927ddf223cc608bb6ee9203" dmcf-pid="6GrPHzwaGN" dmcf-ptype="figure"> <p class="link_figure"><img alt="신승민 큐비트시큐리티 대표" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202604/08/etimesi/20260408111404081lzim.png" data-org-width="300" dmcf-mid="4T5k9dZv1A" dmcf-mtype="image" height="auto" src="https://img4.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202604/08/etimesi/20260408111404081lzim.png" width="658"></p> <figcaption class="txt_caption default_figure"> 신승민 큐비트시큐리티 대표 </figcaption> </figure> <p contents-hash="bf50cd913d07ca882c20e69210ede5900cebac6b1e3d4c333b4839daf66be883" dmcf-pid="PHmQXqrN1a" dmcf-ptype="general">인공지능(AI) 에이전트는 잘 쓰면 생산성을 높이는 도구이지만, 언제든 시한폭탄이 될 수 있다는 불안이 있다. 사실 이 불안은 그리 낯선 것이 아니다. 우리의 윈도우 운영체제도 오래전부터 그랬다. 잘 쓰면 최고의 도구이지만, 공격자의 손에 들어가면 가장 위험한 무기가 된다.</p> <p contents-hash="c3cf160f754d037f58ccbf070776cf7fd303b1d4a909c6345c7f72bee271a55b" dmcf-pid="QXsxZBmj5g" dmcf-ptype="general">바로 그 지점에서 현존하는 자원 활용하기(LOLBAS)를 다시 봐야 한다. 오늘의 해킹 공격은 점점 더 정상적 도구 이용 공격(LOTL) 방식으로 움직이고 있다. 즉, 낯선 악성코드를 새로 들여오기보다 시스템 안에 이미 존재하는 정상 도구와 기능을 악용하는 공격이 늘고 있다는 뜻이다. LOLBAS는 그 LOTL 공격을 윈도우 환경에서 가장 대표적으로 보여 주는 개념이다.</p> <p contents-hash="33408eafc1e76f1553fff4b0d2ad44c697b3dfb05dc28b941515ac03a233cccd" dmcf-pid="xZOM5bsAYo" dmcf-ptype="general">LOLBAS는 윈도우에 원래 들어 있는 정상 실행 파일과 스크립트를 공격자가 악용하는 방식이다. 오늘의 해킹을 이해하려면, 이제 악성코드만 봐서는 부족하다. 오히려 더 위험한 것은 시스템 안에 원래 들어 있는 정상 도구들이다.</p> <p contents-hash="f36c0934483fbb9036f04a84b4a8304867ccd4c2c70234ebc294d92f53e2f340" dmcf-pid="yi2Wnr9UHL" dmcf-ptype="general">문제는 이것이 낯선 악성코드가 아니라는 점이다. 공격자는 certutil.exe로 외부에서 파일을 내려받고, mshta.exe로 스크립트를 실행하고, rundll32.exe로 DLL을 숨겨 실행할 수 있다. 모두 운영체제 안에 원래 있던 정상 도구들이다. 그래서 더 위험하다.</p> <p contents-hash="2308d4c5279c3f405d21c4134a46deced37f09e156787e8e48e3fb878d84b377" dmcf-pid="WnVYLm2u1n" dmcf-ptype="general">이처럼 시스템 내부의 정상 파일을 악용하면 기존 백신으로는 탐지가 거의 불가능하다. 이것이 바로 우리가 더 이상 백신을 맹신하지 않는 이유다.</p> <p contents-hash="33d7cdc0d805359dd3c23dc017f09d19ae29f08b4fde058e8914e6a993beff30" dmcf-pid="YLfGosV7Zi" dmcf-ptype="general">이 공격은 파일 이름만 봐서는 잘 드러나지 않는다. 중요한 것은 누가, 어떤 문맥에서, 어떤 인자와 함께, 어떤 연쇄 행위로 사용했는가다. 그러나 많은 보안 체계는 여전히 이 문맥보다 파일 평판이나 단일 이벤트에 더 익숙하다. 바로 이 지점에서 탐지의 공백이 생긴다.</p> <p contents-hash="74f0425002ad2a2d0b4fe511da8004570ad2a2417133152aff76e37036054be2" dmcf-pid="Go4HgOfztJ" dmcf-ptype="general">LOLBAS 대응은 이미 마이터 어택(MITRE ATT&CK)의 주요 전술·기법과 맞닿아 있다. 따라서 MITRE ATT&CK에 충실하다고 말하는 제품이라면, 최소한 정상 도구 악용에 대한 이해와 탐지·분석 역량을 갖추고 있어야 한다. 문제는 현실이 그렇지 않다는 점이다. 많은 제품이 ATT&CK 매핑 표는 제시하지만, 실제로는 LOLBAS의 실행 문맥과 연쇄 행위, 사전 통제까지 충분히 다루지 못한다.</p> <p contents-hash="bb455b30efd28401a816cb9acbe44f62d846508f58af2fce0d9f5e2cf9df5db3" dmcf-pid="HyE4WUkL1d" dmcf-ptype="general">LOLDrivers는 더 깊다. 정상적이거나 서명된 드라이버를 악용해 커널 수준에서 보안 통제를 우회하고, 보호 기능을 무력화하는 방식이다. 현장에는 아직도 서명되어 있으니 안전하다는 인식이 남아 있다. 하지만 현실은 다르다. 취약하거나 오용 가능한 드라이버는 보안 제품을 끄고, 보호 정책을 우회하고, 시스템 권한을 넓히는 데 이용될 수 있다.</p> <p contents-hash="1d82556248bbf3ef38e726d54008a0ecd94ca21ed4299cab97052e07cffeffd7" dmcf-pid="XWD8YuEoZe" dmcf-ptype="general">정상 도구와 정상 드라이버는 한 번 악용되면 너무 많은 일을 할 수 있다. 다운로드하고, 실행하고, 권한을 높이고, 외부와 연결하고, 지속성까지 남긴다. 다시 말해, 공격자는 새로운 악성 파일을 굳이 들여오지 않고도 이미 시스템 안에 있는 기능만으로 침투 이후의 주요 단계를 이어갈 수 있다.</p> <p contents-hash="371625146056984519329d6420b061c3ce54cab62efdcb74a841c0c81d13a787" dmcf-pid="ZYw6G7Dg1R" dmcf-ptype="general">그래서 필요한 것은 사후 탐지 이전의 사전 통제다. 업무상 필요 없는 정상 도구를 줄이고, 막고, 제한하는 체계, 즉 LOLHardening이 먼저여야 한다. 어떤 도구가 실제 업무에 필요한지, 어떤 도구는 차단해도 되는지, 어떤 도구는 감사 모드로 먼저 볼 것인지, 서버와 PC의 정책을 어떻게 다르게 둘 것인지 기준이 있어야 한다.</p> <p contents-hash="7e0c6abc6773688d8fef4fa15c54ab1dd85b7825bdb6958f8ba89456f95410d3" dmcf-pid="5GrPHzwa1M" dmcf-ptype="general">문제는 많은 조직이 이 기준조차 제대로 세우지 못하고 있다는 데 있다. 탐지는 경보로 끝나고, 통제는 따로 놀고, 포렌식은 사고 후에야 시작된다. 이렇게 분절된 구조에서는 LOLBAS 대응이 어렵다. 이 공격의 본질이 정상 기능의 오용이기 때문이다.</p> <p contents-hash="b9d98754a92ef279d3e8733a783387133cef198effdb67724cccadbfed57fbbc" dmcf-pid="1HmQXqrNGx" dmcf-ptype="general">여기에 리눅스 환경까지 보면 문제는 더 넓어진다. 리눅스에서는 GTFOBins가 같은 맥락을 보여 준다. 즉, 윈도우의 LOLBAS와 리눅스의 GTFOBins는 서로 다른 이름이지만, 본질적으로는 모두 LOTL 공격의 변형이다. 운영체제 안에 원래 존재하는 정상 도구를 공격자가 무기로 바꾸는 방식이라는 점에서는 같다.</p> <p contents-hash="dce19d26312b2efc4192436940b8b177f85be6f21e10a3a1299cf27a36ecb113" dmcf-pid="tXsxZBmjYQ" dmcf-ptype="general">이제 보안의 기준은 달라져야 한다. 악성코드 샘플을 얼마나 모았는가가 아니라, 정상 도구의 오용을 볼 수 있는가, 그 도구를 실제로 통제할 수 있는가가 더 중요하다. 운영체제 수준의 실행 통제와 로그 분석, 그리고 포렌식까지 하나의 흐름으로 이어져야 비로소 대응이 가능해진다.</p> <p contents-hash="5b81e5c080630514e75aa84e6bd8ed6cf3ecbcfadab2b8f4afb9977c02dc9cde" dmcf-pid="FZOM5bsAXP" dmcf-ptype="general">LOLBAS를 이해해야 해킹이 보인다. LOLDrivers를 이해해야 더 깊은 우회가 보인다. LOLHardening을 적용해야 사전 통제가 가능해진다. 여기에 리눅스의 GTFOBins까지 함께 봐야 현대의 서버 공격까지 놓치지 않을 수 있다.</p> <p contents-hash="6f528b54265a8e9ac817d6bd4d8c2a519778be40a1c27e0a18dbee7498945839" dmcf-pid="35IR1KOcH6" dmcf-ptype="general">그리고 MITRE ATT&CK에 충실한 제품이라면, 적어도 이러한 정상 도구 악용 공격을 이해하고 탐지·분석할 수 있어야 한다.LOLBAS를 이해하지 못한다면, 이제는 백신이나 EDR을 도입하고도 제대로 대응할 수 없는 시대다.그래서 지금 필요한 것은 더 많은 제품이 아니라, 정상 도구의 악용을 이해하고 통제할 수 있는 보안 역량이다.</p> <p contents-hash="e43d31bcb4060927ade3bbb6e49b58227be15f76fa90de53fc18a826e2f8cdab" dmcf-pid="01Cet9IkZ8" dmcf-ptype="general">joo@qubitsec.com</p> </section> </div> <p class="" data-translation="true">Copyright © 전자신문. 무단전재 및 재배포 금지.</p> 관련자료 이전 "안녕하세요" 한국어 외친 메릴 스트립…앤 해서웨이는 "섭섭해"('악마는 프라다를2')[스한:현장] 04-08 다음 검찰, 故김창민 감독 아들 소환…당시 현장 관련 진술 청취 [이슈in] 04-08 댓글 0 등록된 댓글이 없습니다. 로그인한 회원만 댓글 등록이 가능합니다.
