MITRE ATT&CK: T1036.004 (Masquerade Task or Service) | 전술: Defense Evasion | 플랫폼: Windows, Linux, macOS
도입: 왜 이 공격이 중요한가
2022년 우크라이나 전력망이 마비됐을 때, 러시아 해커 그룹 Sandworm은 정교한 방법을 사용했습니다. 바로 악성 프로그램을 정상적인 시스템 서비스로 위장시킨 거죠. 관리자들은 이상한 점을 전혀 눈치채지 못했거든요.
Masquerade Task or Service 는 공격자가 악성 작업이나 서비스의 이름을 조작해서 정상적인 시스템 구성 요소처럼 보이게 만드는 기법입니다. 윈도우의 작업 스케줄러나 리눅스의 systemd 같은 시스템 서비스를 악용하는 거죠.
💡 쉬운 비유: 도둑이 경비원 옷을 입고 건물에 침입하는 것과 같아요. 겉보기엔 정상적인 직원처럼 보이니까 아무도 의심하지 않거든요.
1. 공격자 관점
왜 이 기법을 사용하는가
- 은밀성: 정상 서비스로 위장하면 시스템 관리자나 보안 도구가 쉽게 발견하지 못함
- 지속성: 시스템 재부팅 후에도 자동으로 실행되어 지속적인 접근 권한 유지 가능
- 신뢰성: 사용자들이 친숙한 서비스 이름을 보면 의심하지 않고 넘어감
동작 흐름
💡 쉬운 비유: 가짜 택배기사가 진짜 택배회사 유니폼을 입고 집에 들어오는 것처럼, 악성 프로그램이 'Windows Update Service' 같은 그럴듯한 이름으로 시스템에 자리잡는 거예요.
2. 실제 공격 사례
📌 Sandworm Team - 2022 우크라이나 전력망 공격 (2022)
배경: 러시아의 대규모 미사일 공격과 동시에 우크라이나 전력 인프라를 마비시키려는 사이버 공격이 실행됐습니다. Sandworm 그룹이 전력 회사의 운영 기술(OT) 시스템을 직접 타겟으로 한 정교한 작전이었죠.
공격 과정:
- 우크라이나 전력회사 네트워크에 침투 후 GOGETTER 악성코드 배포
- Linux systemd 서비스 유닛을 활용해 악성코드를 정상적인 시스템 서비스로 위장
- 실제 전력 제어 시스템을 조작해 차단기를 작동시키고 정전 발생
피해 규모: 우크라이나 전역의 중요 인프라 시설이 동시에 타격받으며 대규모 정전 발생
출처: Sandworm Disrupts Power in Ukraine Using a Novel Attack Against Operational Technology
📌 APT32 (OceanLotus) - 베트남 국가 지원 스파이 활동 (2017)
배경: 베트남과 관련된 사업을 하는 글로벌 기업들과 정부 기관을 대상으로 한 장기간의 사이버 스파이 활동이었습니다. 특히 베트남 정부의 이익과 일치하는 정보 수집이 목적이었죠.
공격 과정:
- 스피어 피싱 이메일로 초기 침투 후 시스템 권한 획득
- 정상적인 Flash 설치 파일명인 "install_flashplayer.exe"로 악성 파일 위장
- 서비스 이름에 유니코드 공백 문자를 숨겨서 정상 서비스와 구별하기 어렵게 조작
피해 규모: 다국적 기업 수십 곳의 기밀 정보가 장기간 유출됨
출처: Cyber Espionage is Alive and Well: APT32 and the Threat to Global Corporations
📌 APT-C-36 (Blind Eagle) - 콜롬비아 정부기관 표적 공격 (2018-2019)
배경: 남미 지역의 APT 그룹이 콜롬비아 정부 기관과 금융, 석유, 제조업 분야의 주요 기업들을 지속적으로 공격한 사건입니다.
공격 과정:
- 비밀번호로 보호된 RAR 첨부파일이 포함된 스피어 피싱 이메일 발송
- 구글(Google)에서 사용하는 것처럼 보이는 이름으로 예약된 작업(Scheduled Task) 생성
- Imminent 백도어를 심어 지속적인 네트워크 접근 권한 확보
피해 규모: 콜롬비아 정부 기관 29개 조직에서 악성 문서 및 트로이목마 62개 샘플 발견
출처: APT-C-36: Continuous Attacks Targeting Colombian Government Institutions and Corporations
3. 왜 탐지가 어려운가?
공식 탐지 방법
DET0117 Detection of Masqueraded Tasks or Services with Suspicious Naming and Execution - AN0324: 정상적인 항목을 모방하는 이름이나 설명을 가진 윈도우 서비스 또는 예약된 작업의 생성이나 수정을 감지하고, 이후 신뢰할 수 없는 바이너리나 LOLBAS의 비정상적인 실행을 탐지
공격자가 이 기법을 선호하는 이유
- 인간의 인지 한계 악용: 관리자들은 수백 개의 서비스 중에서 미묘한 이름 차이를 놓치기 쉬워요
- 자동화된 도구의 맹점: 대부분의 보안 도구는 서비스 이름만으로는 악성 여부를 판단하기 어려움
- 시스템 신뢰성 이용: 사용자들이 시스템 서비스는 당연히 안전할 것이라고 가정하는 심리를 악용
탐지의 현실적 한계
공식적으로는 서비스 생성과 실행 패턴을 모니터링할 수 있다고 하지만, 실제로는 꽤 까다로워요. 정상적인 소프트웨어 설치와 악성 서비스 생성을 구별하기 어렵고, 너무 많은 알림이 발생해서 관리자가 중요한 신호를 놓치기 쉽거든요. 특히 대기업 환경에서는 매일 수십 개의 새로운 서비스가 생성되니까 일일이 확인하기가 현실적으로 불가능하죠.
4. 나도 위험할까? 자가 진단
이 공격이 나와 관련 있는지 확인해보세요.
이런 환경이라면 주의가 필요합니다
- 회사에서 많은 서드파티 소프트웨어를 사용하고 있어서 새로운 서비스 설치가 빈번한 환경
- 시스템 관리자가 서비스 목록을 정기적으로 점검하지 않는 조직
- 정부 기관이나 중요 인프라 관련 업무를 하는 곳에서 근무하는 경우
- 국가적으로 민감한 정보를 다루거나 지정학적 갈등 지역과 관련된 업무를 하는 환경
당장 할 수 있는 것
- 작업 관리자에서 서비스 탭을 열어 생소하거나 이상한 이름의 서비스가 실행 중인지 확인해보기
- 시스템에 설치된 프로그램 목록을 점검하고 기억나지 않는 소프트웨어가 있다면 조사해보기
- 🏢 보안 담당자: PowerShell 명령어
Get-Service | Where-Object {$_.DisplayName -like "*google*" -or $_.DisplayName -like "*microsoft*"}로 주요 회사명을 사용하는 서비스들의 디지털 서명과 경로를 주기적으로 검증하기
5. 관련 기술
| 기법 | 어떤 상황에서 함께 사용되나 |
|---|---|
| T1547.001 Registry Run Keys / Startup Folder | 서비스 위장과 함께 시스템 시작 시 자동 실행을 보장하기 위해 레지스트리 키도 조작하는 경우 |
| T1055 Process Injection | 위장된 서비스가 탐지되는 것을 막기 위해 정상 프로세스에 악성 코드를 주입할 때 |
| T1027 Obfuscated Files or Information | 서비스로 실행되는 악성 파일 자체를 난독화하여 안티바이러스 탐지를 우회하려 할 때 |
참고 자료
📌 이 글은 AI(Claude) 를 활용하여 작성되었으며, MITRE ATT&CK (최신 버전) 을 기준으로 합니다. 본 콘텐츠는 보안 교육 및 방어 목적으로만 제공되며, 이를 악용한 불법 행위에 대한 책임은 전적으로 행위자 본인에게 있습니다.
?뱛 ??湲? [?꾩옣 湲곕쾿(T1036) ?쒕━利?(/blog/attack-security-file-t1036-v5w5uamj)???쇰??낅땲??
COMMENTS (0)
댓글은 익명으로 작성되며, 삭제 비밀번호를 설정하면 본인만 삭제할 수 있습니다. 비밀번호를 설정하지 않은 댓글은 누구나 삭제할 수 있습니다.