cd ../blog
MITRE

JavaScript 악성코드 드로퍼: 브라우저를 무기로 만드는 공격 원리 | T1059.007

읽는 시간 약 7분
조회수 8
MITRE ATT&CK악성코드 분석APT 공격스크립트 악용사이버 위협

JavaScript 드로퍼로 인한 시스템 장악 위협을 분석합니다. Kimsuky APT, APT32 등 실제 공격 사례 3가지와 탐지 우회 기법, 자가 진단 체크리스트를 제공합니다. 지금 확인하세요.

share:
JavaScript 악성코드 드로퍼: 브라우저를 무기로 만드는 공격 원리 | T1059.007

<!--SEO_META_START title: JavaScript 드로퍼 공격: Kimsuky가 브라우저를 노리는 이유 | T1059.007 description: Kimsuky APT가 JavaScript 드로퍼로 한국 정부기관을 해킹한 실제 사례 분석. JS 파일 더블클릭만으로 감염되는 원리와 방어법을 확인하세요. keywords: T1059.007, JavaScript 드로퍼, MITRE ATT&CK, Kimsuky, JS 악성코드, 브라우저 공격 tags: MITRE ATT&CK, T1059.007, JavaScript, Kimsuky SEO_META_END-->

MITRE ATT&CK: T1059.007 (JavaScript) | 전술: Execution | 플랫폼: Windows, macOS, Linux

도입: 왜 이 공격이 중요한가

2021년 6월, 한국 정부 기관들이 연이어 해킹당하는 사건이 발생했습니다. 공격자는 Kimsuky APT 그룹이었고, 이들이 사용한 핵심 무기는 바로 JavaScript였습니다. 평소 웹사이트에서 동적인 기능을 제공하는 데 사용되는 이 친숙한 언어가 악의적인 목적으로 변모한 것입니다.

JavaScript는 단순히 웹 브라우저에서만 동작하는 언어가 아닙니다. Windows의 JS(자바스크립트)cript, macOS의 JXA(JavaScript for Automation) 등 다양한 형태로 운영체제 깊숙이 통합되어 있어, 공격자들이 시스템을 제어하는 강력한 도구로 활용할 수 있습니다.

💡 쉬운 비유: 집 안의 리모컨이 갑자기 해커의 손에 들어가 TV뿐만 아니라 에어컨, 보일러, 심지어 현관문까지 조작할 수 있게 된 상황과 같습니다.

1. 공격자 관점

왜 이 기법을 사용하는가

  • 광범위한 플랫폼 지원: Windows JScript, macOS JXA, Node.js 등 다양한 환경에서 실행 가능
  • 정당한 도구로 위장: 시스템 관리 도구로 인식되어 보안 솔루션의 탐지를 우회하기 쉬움
  • 강력한 시스템 제어: COM 객체, OSA API 등을 통해 운영체제 깊숙한 기능까지 접근 가능

동작 흐름

공격자는 먼저 이메일이나 웹사이트를 통해 JavaScript 파일을 배포합니다. 피해자가 이를 실행하면, JavaScript는 시스템 정보를 수집하고 원격 서버에서 추가 악성코드를 다운로드한 후, PowerShell 같은 다른 도구를 실행하여 시스템을 완전히 장악합니다.

2. 실제 공격 사례

📌 Kimsuky APT - AppleSeed 백도어 캠페인 (2021)

배경: 북한 연계 해킹 그룹인 Kimsuky가 한국 정부 기관을 대상으로 장기간 정보 수집을 목적으로 한 정교한 공격을 수행했습니다.

공격 과정:

  1. 정부 기관 직원들에게 업무 관련 문서로 위장한 악성 이메일 발송
  2. JavaScript를 통해 AppleSeed 백도어 실행 및 PowerShell 명령어 호출
  3. 시스템 정보 수집 후 지속적인 원격 제어 및 기밀 문서 탈취

피해 규모: 다수의 한국 정부 기관이 피해를 입었으며, 장기간에 걸쳐 기밀 정보가 유출된 것으로 추정됩니다.

출처: Kimsuky APT continues to target South Korean government using AppleSeed backdoor

📌 APT32 (OceanLotus) - 가짜 웹사이트 운영 (2020)

배경: 베트남 정부 배경의 APT32 그룹이 동남아시아 지역의 정치 활동가와 언론인들을 대상으로 대규모 감시 작전을 전개했습니다.

공격 과정:

  1. 2만 명 이상의 팔로워를 보유한 가짜 반부패 웹사이트와 페이스북 페이지 운영
  2. 방문자들의 브라우저에서 JavaScript를 실행하여 사용자 정보 수집 및 프로파일링
  3. 특정 타겟에게는 피싱 페이지로 리다이렉트하여 자격 증명 탈취

피해 규모: 수천 명의 정치 활동가와 언론인들의 개인정보가 수집되었으며, 일부는 추가 공격의 표적이 되었습니다.

출처: OceanLotus: Extending Cyber Espionage Operations Through Fake Websites

📌 Astaroth 트로이목마 - 남미 타겟 캠페인 (2018)

배경: 남미 지역의 금융기관 고객들을 타겟으로 한 대규모 뱅킹 트로이목마 공격이 발생했습니다.

공격 과정:

  1. 가짜 청구서 이메일에 악성 .lnk 파일 첨부하여 8,000여 대의 시스템 감염
  2. JavaScript를 핵심 기능 수행 도구로 사용하여 WMIC를 통한 추가 페이로드 다운로드
  3. 클라우드플레어를 통해 남미 IP에서만 페이로드 전달하는 지역별 타겟팅 실시

피해 규모: 약 8,000대의 시스템이 감염되었으며, 주로 브라질과 남미 지역의 금융 정보가 탈취되었습니다.

출처: Threat Spotlight: Astaroth - Maze of obfuscation and evasion reveals dark stealer

3. 왜 탐지가 어려운가?

공식 탐지 방법

DET0264 JavaScript 실행 남용의 크로스 플랫폼 탐지: WSH(wscript.exe, cscript.exe)나 HTA(mshta.exe)를 통한 JavaScript 실행을 감지합니다. 특히 Office 매크로, 웹 브라우저, 또는 비정상적인 사용자 경로에서 실행될 때를 모니터링하며, 스크립트 실행과 아웃바운드 네트워크 활동 또는 시스템 수정 사항을 연관 분석합니다.

공격자가 이 기법을 선호하는 이유

  • 정상 도구로 인식: wscript.exe, cscript.exe는 Windows의 정당한 시스템 도구로 인식되어 대부분의 보안 솔루션에서 차단되지 않습니다
  • 다양한 실행 경로: 이메일 첨부파일, 웹 브라우저, Office 매크로 등 여러 경로를 통해 실행될 수 있어 탐지 패턴을 복잡하게 만듭니다
  • 강력한 난독화: JavaScript는 텍스트 기반 언어로 쉽게 난독화할 수 있어 시그니처 기반 탐지를 우회합니다

탐지의 현실적 한계

공식 탐지 방법이 존재하지만 실제 환경에서는 한계가 있습니다. JavaScript는 웹 개발, 시스템 관리 등 정상적인 업무에서도 자주 사용되므로 오탐률이 높고, 모든 스크립트 실행을 모니터링하면 시스템 성능에 부담을 줍니다. 또한 대부분의 조직에서는 이런 세밀한 모니터링을 수행할 수 있는 고급 보안 도구나 전문 인력이 부족한 상황입니다.

4. 나도 위험할까? 자가 진단

이 공격이 나와 관련 있는지 확인해보세요.

이런 환경이라면 주의가 필요합니다

  • 업무용 이메일로 문서나 파일을 자주 받아보는 환경
  • 웹 브라우저에서 스크립트 실행을 허용하고 있는 상태
  • Windows Script Host(WSH)가 활성화되어 있는 시스템
  • Office 매크로 실행이 허용된 환경에서 외부 문서를 열어보는 경우

공식 대응 방안

M1040 엔드포인트 행위 차단: Windows 10에서 공격 표면 감소(ASR) 규칙을 활성화하여 JavaScript 스크립트가 잠재적으로 악성인 다운로드된 콘텐츠를 실행하는 것을 방지합니다.

M1042 기능 비활성화 또는 제거: 불필요한 스크립팅 구성 요소에 대한 액세스를 차단하거나 제한합니다.

M1038 실행 방지: 적절한 경우 스크립팅을 거부 목록에 추가합니다.

M1021 웹 기반 콘텐츠 제한: 스크립트 차단 확장 프로그램을 사용하여 악용 과정에서 일반적으로 사용되는 JavaScript 및 HTA 파일의 실행을 방지할 수 있습니다.

당장 할 수 있는 것

  • Windows 10 이상에서 Windows Defender의 공격 표면 감소(ASR) 규칙 활성화하기
  • 브라우저에 스크립트 차단 확장 프로그램(uBlock Origin, NoScript 등) 설치하기
  • 이상한 점 발견 시 전문가에게 문의하거나 관련 기관에 신고하기

5. 관련 기술

기법어떤 상황에서 함께 사용되나
T1059.001 PowerShellJavaScript로 초기 시스템 정보를 수집한 후, 더 강력한 기능을 위해 PowerShell을 호출할 때
T1027 파일 또는 정보 난독화JavaScript 코드를 암호화하거나 난독화하여 보안 솔루션의 탐지를 우회할 때
T1566.001 스피어피싱 첨부파일이메일에 악성 JavaScript 파일을 첨부하여 초기 침입 경로로 사용할 때

참고 자료

📌 이 글은 AI(Claude) 를 활용하여 작성되었으며, MITRE ATT&CK v18.0 기준 (2025-10-28) 을 기준으로 합니다. 본 콘텐츠는 보안 교육 및 방어 목적으로만 제공되며, 이를 악용한 불법 행위에 대한 책임은 전적으로 행위자 본인에게 있습니다.

?뱛 ??湲€?€ [?ㅽ겕由쏀듃 ?ㅽ뻾(T1059) ?쒕━利?(/blog/t1059-command-and-scripting-interpreter)???쇰??낅땲??

COMMENTS (0)

댓글은 익명으로 작성되며, 삭제 비밀번호를 설정하면 본인만 삭제할 수 있습니다. 비밀번호를 설정하지 않은 댓글은 누구나 삭제할 수 있습니다.