개요
MITRE ID: T1036 | 전술: Defense Evasion | 플랫폼: Linux, macOS, Windows
위장 공격(Masquerading) 은 공격자가 자신의 악성 파일이나 프로세스를 정상적인 것처럼 보이게 만드는 기법이에요. 파일명을 바꾸거나, 가짜 아이콘을 사용하거나, 심지어 정상 프로그램의 이름을 그대로 베끼는 방식으로 보안 도구와 사용자를 속이는 거죠.
💡 쉬운 비유: 늑대가 양의 털을 뒤집어쓰고 양 떼 사이에 숨어드는 것과 같아요. 겉보기엔 양 같지만 실제론 위험한 늑대인 거죠.
하위 기법 (Sub-techniques)
이 기법에는 다음과 같은 세부 기법들이 있습니다:
| ID | 이름 | 상세 분석 |
|---|---|---|
| T1036.001 | Invalid Code Signature | 가짜 인증서 서명 |
| T1036.002 | Right-to-Left Override | 파일명 위장 .exe→.pdf | | T1036.003 | Rename Legitimate Utilities | rundll32 위장 공격 | | T1036.004 | Masquerade Task or Service | 가짜 작업·서비스 | | T1036.005 | Match Legitimate Resource Name or Location | svchost.exe 위장 | | T1036.006 | Space after Filename | 파일명 공백 위장 | | T1036.007 | Double File Extension | - | | T1036.008 | Masquerade File Type | - | | T1036.009 | Break Process Trees | - | | T1036.010 | Masquerade Account Name | - |
| T1036.011 | Overwrite Process Arguments | - | | T1036.012 | Browser Fingerprint | - |
위 표에서 링크가 있는 기법은 상세 분석 글이 있습니다.
대표 사례
📌 Kimsuky - AppleSeed 백도어 공격
북한 연계 해킹 그룹 Kimsuky가 개발한 AppleSeed 백도어는 JavaScript 파일을 PDF 문서로 위장해서 배포했어요. 사용자들이 중요한 문서인 줄 알고 클릭하게 만드는 정교한 수법이었죠.
출처: Kimsuky APT continues to target South Korean government using AppleSeed backdoor
📌 APT32 - 가짜 Flash 설치 프로그램
베트남 연계 APT32 그룹은 Cobalt Strike 비콘을 Adobe Flash 설치 프로그램으로 위장했습니다. 많은 사용자들이 일상적으로 설치하는 프로그램인 만큼 의심받지 않고 실행될 가능성이 높았거든요.
참고 자료
📌 이 글은 AI(Claude) 를 활용하여 작성되었으며, MITRE ATT&CK (최신 버전) 을 기준으로 합니다. 본 콘텐츠는 보안 교육 및 방어 목적으로만 제공되며, 이를 악용한 불법 행위에 대한 책임은 전적으로 행위자 본인에게 있습니다.
COMMENTS (0)
댓글은 익명으로 작성되며, 삭제 비밀번호를 설정하면 본인만 삭제할 수 있습니다. 비밀번호를 설정하지 않은 댓글은 누구나 삭제할 수 있습니다.