개요
MITRE ID: T1195 | 전술: Initial Access | 플랫폼: Linux, macOS, Windows
공급망 침해(Supply Chain Compromise)는 공격자가 최종 사용자에게 전달되기 전 제품이나 배송 과정을 조작하는 기법입니다. 개발 도구부터 소프트웨어 업데이트, 심지어 하드웨어 제조 과정까지 모든 단계가 공격 대상이 될 수 있거든요.
💡 쉬운 비유: 택배 배송 과정에서 누군가 박스를 열어 내용물을 바꿔치기하는 것과 같아요. 받는 사람은 정상적인 택배라고 생각하지만, 실제로는 조작된 물건을 받게 되죠.
하위 기법 (Sub-techniques)
이 기법에는 다음과 같은 세부 기법들이 있습니다:
| ID | 이름 |
|---|---|
| T1195.001 | Compromise Software Dependencies and Development Tools |
| T1195.002 | Compromise Software Supply Chain |
| T1195.003 | Compromise Hardware Supply Chain |
각 하위 기법의 상세 분석은 개별 글에서 다룹니다.
대표 사례
📌 Lumma Stealer - 크랙 소프트웨어 유통
Lumma Stealer는 YouTube를 통해 크랙 소프트웨어 다운로드로 위장하여 배포되었습니다. 공격자들이 GitHub, MediaFire 같은 신뢰할 만한 플랫폼을 악용해 웹 필터를 우회했죠. 사용자들은 무료 소프트웨어를 받는다고 생각했지만, 실제로는 자격증명을 탈취하는 악성코드를 설치하게 된 거예요.
출처: Cybereason - Your Data Is Under New Lummanagement
📌 Sandworm Team - 정상 설치 파일 변조
러시아 APT 그룹인 Sandworm Team은 포럼에 정상 소프트웨어 설치 파일처럼 보이는 변조된 버전을 업로드했습니다. 특정 타겟을 겨냥하지 않고 광범위하게 뿌려서 초기 접근을 확보하는 전략을 사용했어요.
출처: Google - APT44: Unearthing Sandworm
참고 자료
관련 글 더 보기
- 매직 바이트 조작: .exe를 .jpg로 위장하는 파일 헤더 공격 | T1036.008
- 이중 확장자 공격: report.pdf.exe가 문서로 보이는 이유 | T1036.007
- 파일명 공백 위장: 확장자를 숨겨 탐지를 우회하는 원리 | T1036.006
- 정상 프로세스 위장: svchost.exe 이름을 도용하는 공격 원리 | T1036.005
- 가짜 작업·서비스: 공격자가 윈도우 시스템에 숨는 방법 | T1036.004
- rundll32 위장 공격: 정상 도구 이름으로 EDR을 우회하는 방법 | T1036.003
- NPM 패키지 위조 공격: 개발 도구가 백도어가 되는 원리 | T1195.001
- 소프트웨어 공급망 침해: 한 번 감염으로 수백만 피해자를 만드는 원리 | T1195.002
- 프로세스 트리 조작: 공격자가 부모 프로세스 추적을 차단하는 원리 | T1036.009
- 브라우저 핑거프린트 위조: 공격자가 네트워크 탐지를 우회하는 원리 | T1036.012
안내 및 법적 고지
AI 활용 안내 이 글은 AI(Claude)의 도움을 받아 작성되었으며, MITRE ATT&CK (최신 버전) 기준 정보를 포함합니다. 기술적 내용은 MITRE ATT&CK 공식 데이터를 기반으로 하며, 보안 교육 목적으로 제공됩니다.
면책 조항 본 글은 보안 인식 제고를 위한 교육 목적으로 작성되었습니다. 언급된 공격 기법을 실제로 시도하는 행위는 「정보통신망법」, 「형법」 등에 따라 처벌받을 수 있으며, 본 블로그는 이에 대한 법적 책임을 지지 않습니다.
COMMENTS (0)
댓글은 익명으로 작성되며, 삭제 비밀번호를 설정하면 본인만 삭제할 수 있습니다. 비밀번호를 설정하지 않은 댓글은 누구나 삭제할 수 있습니다.