LSA Secrets 탈취: APT29·APT33이 선택한 자격증명 공격 | T1003.004

$ cat ./report.md

MITRE ATT&CK: T1003.004 (LSA Secrets) | 전술: Credential Access | 플랫폼: Windows

도입: 왜 이 공격이 중요한가

윈도우 시스템에는 해커들이 가장 탐내는 '보물창고'가 숨어 있습니다. 바로 LSA(Local Security Authority) Secrets입니다. 이곳에는 서비스 계정의 자격 증명, 도메인 컴퓨터 계정 정보, 그리고 다양한 시스템 암호가 저장되어 있어, 한 번 접근에 성공하면 해커는 조직 전체로 공격을 확산시킬 수 있는 열쇠를 손에 넣게 됩니다.

LSA Secrets는 레지스트리의 HKEY_LOCAL_MACHINE\SECURITY\Policy\Secrets 경로나 메모리에서 추출할 수 있으며, SYSTEM 권한만 있으면 접근이 가능해 많은 공격자들이 선호하는 기법입니다.

💡 쉬운 비유: 회사 금고실에 모든 부서의 열쇠가 보관되어 있는데, 마스터키만 있으면 모든 열쇠에 접근할 수 있는 상황과 같습니다.

1. 공격자 관점

왜 이 기법을 사용하는가

풍부한 자격 증명 획득: 서비스 계정, 도메인 컴퓨터 계정 등 다양한 고권한 계정 정보를 한 번에 탈취 가능
횡적 이동의 발판: 획득한 자격 증명으로 네트워크 내 다른 시스템으로 쉽게 이동
지속성 확보: 서비스 계정 정보로 장기간 시스템에 접근할 수 있는 백도어 구축

동작 흐름

2. 실제 공격 사례

📌 APT29/UNC3524 - 이메일 스파이 캠페인 (2019-2022)

항목	상세 정보
공격 그룹	APT29 (Cozy Bear, The Dukes, NOBELIUM) / UNC3524
MITRE 그룹 ID	G0016
활동 기간	2019년 ~ 2022년
배후 추정	러시아 대외정보국 (SVR)
표적 산업	금융, M&A 관련 법률사무소, 기업 개발팀
관련 소프트웨어	Mimikatz (S0002), Impacket (S0357)

배경: 러시아 정부 배경의 APT29는 기업의 이메일을 대량으로 수집하기 위해 장기간 은밀한 스파이 활동을 전개했습니다. 특히 기업 인수합병, 대규모 거래 담당 직원들의 이메일을 집중 타겟으로 삼았습니다.

공격 과정:

초기 침투 후 SYSTEM 권한을 획득한 공격자는 reg save 명령어를 사용하여 LSA secrets를 오프라인으로 추출
추출된 정보에서 서비스 계정과 도메인 계정의 자격 증명을 획득
이를 통해 이메일 서버에 접근하여 eDiscovery 및 Graph API 같은 정당한 도구로 대량 이메일 수집

피해 규모: 평균 침투 기간이 일반적인 공격보다 10배 이상 길었으며, 수년간 탐지되지 않고 지속적인 정보 탈취가 이루어짐

📌 APT33 (Elfin) - 다각도 산업 스파이 공격 (2016-2019)

항목	상세 정보
공격 그룹	APT33 (Elfin, HOLMIUM, Refined Kitten)
MITRE 그룹 ID	G0064
활동 기간	2016년 ~ 2019년
배후 추정	이란 정부

배경: 이란 정부 배경의 APT33(Elfin)은 사우디아라비아와 미국의 주요 기업들을 대상으로 3년간 지속적인 스파이 활동을 전개했습니다. 특히 에너지, 화학, 금융 분야의 Fortune 500 기업들을 집중 공략했습니다.

공격 과정:

취약한 웹사이트 스캔을 통해 초기 침투 지점을 확보
LaZagne 같은 공개 도구를 활용하여 LSA Secrets에서 자격 증명 수집
탈취한 계정 정보로 네트워크 내부로 확산하여 핵심 시스템에 접근

피해 규모: 2016년부터 2019년까지 50개 이상의 조직이 피해를 입었으며, 사우디아라비아(42%)와 미국(18개 기업) 조직이 주요 타겟

3. 왜 탐지가 어려운가?

공식 탐지 방법

[DET0437] Detection of LSA Secrets Dumping via Registry and Memory Extraction - AN1212: 레지스트리 키 HKEY_LOCAL_MACHINE\SECURITY\Policy\Secrets 내보내기 또는 Mimikatz나 PowerSploit의 Invoke-Mimikatz 같은 도구를 통한 메모리 스크래핑 등 LSA Secrets 접근을 목표로 하는 공격자 활동을 탐지합니다.

공격자가 이 기법을 선호하는 이유

정당한 도구 활용: reg save 같은 윈도우 기본 명령어나 관리 도구를 사용하여 의심을 피함
일회성 접근의 고효율: 한 번의 접근으로 다양한 고권한 계정 정보를 대량 획득 가능
메모리 기반 공격: 디스크에 흔적을 남기지 않는 메모리 덤프 방식으로 포렌식 분석을 회피

탐지의 현실적 한계

레지스트리 접근과 메모리 덤프는 정상적인 시스템 관리 작업에서도 빈번하게 발생하기 때문에 오탐률이 높습니다. 또한 공격자가 정당한 관리 도구를 사용할 경우 악성 행위와 정상 업무를 구분하기 어려우며, 메모리 기반 공격은 실시간 모니터링이 없으면 사후 추적이 거의 불가능합니다.

4. 나도 위험할까? 자가 진단

이 공격이 나와 관련 있는지 확인해보세요.

이런 환경이라면 주의가 필요합니다

윈도우 서버나 도메인 환경에서 여러 서비스가 동일한 서비스 계정을 공유하여 실행되고 있다
시스템 관리자 계정의 비밀번호가 여러 시스템에서 동일하게 사용되고 있다
정기적인 보안 패치나 권한 관리 정책이 제대로 시행되지 않아 공격자가 쉽게 SYSTEM 권한을 획득할 수 있다
기업의 민감한 정보(M&A, 계약 정보 등)를 다루는 부서에서 근무하고 있다

공식 대응 방안

[M1027] Password Policies: 네트워크상의 모든 시스템에서 로컬 관리자 계정이 복잡하고 고유한 비밀번호를 사용하도록 보장합니다.

[M1026] Privileged Account Management: 관리 계층 전반에 걸친 권한 계정 사용을 제한하기 위해 기업 네트워크의 설계 및 관리 모범 사례를 따릅니다.

[M1017] User Training: 사용자와 관리자가 여러 계정에 동일한 비밀번호를 사용하지 않도록 교육하여 계정과 시스템 간 자격 증명 중복을 제한합니다.

당장 할 수 있는 것

계정별 고유 비밀번호 설정: 관리자 계정과 서비스 계정마다 서로 다른 복잡한 비밀번호 사용
권한 최소화 원칙 적용: 각 계정과 서비스에 필요한 최소한의 권한만 부여하고 정기적으로 검토
이상한 점 발견 시 전문가에게 문의하거나 관련 기관에 신고하기: 예상치 못한 시스템 접근이나 의심스러운 프로세스 실행 발견 시 즉시 보고

5. 관련 기술

기법	어떤 상황에서 함께 사용되나
T1003.001 LSASS Memory	LSA Secrets와 함께 LSASS 프로세스 메모리를 덤프하여 더 많은 자격 증명을 수집할 때
T1021 Remote Services	탈취한 서비스 계정 정보로 원격 서비스에 접속하여 네트워크 내 횡적 이동을 수행할 때
T1547 Boot or Logon Autostart Execution	획득한 서비스 계정으로 시스템 부팅 시 자동 실행되는 악성 프로그램을 설치할 때

📚 함께 읽어보기: T1003.001 vs T1003.002 vs T1003.004 완전 비교 분석

참고 자료

�� 이 글은 AI(Claude) 를 활용하여 작성되었으며, MITRE ATT&CK v18.0 기준 (2025-10-28) 을 기준으로 합니다. 본 콘텐츠는 보안 교육 및 방어 목적으로만 제공되며, 이를 악용한 불법 행위에 대한 책임은 전적으로 행위자 본인에게 있습니다.

?뱛 ??湲? [?먭꺽利앸챸 ?ㅽ븨(T1003) ?쒕━利?(/blog/t1003-os-credential-dumping-7819)???쇰??낅땲??

COMMENTS (0)

댓글은 익명으로 작성되며, 삭제 비밀번호를 설정하면 본인만 삭제할 수 있습니다. 비밀번호를 설정하지 않은 댓글은 누구나 삭제할 수 있습니다.