MITRE ATT&CK: T1059.008 (Network Device CLI) | 전술: Execution | 플랫폼: Network
도입: 왜 이 공격이 중요한가
2024년 4월, Cisco ASA VPN 장비를 대상으로 한 ArcaneDoor 캠페인이 발견되었습니다. 국가 지원을 받는 것으로 추정되는 공격자들이 네트워크 장비의 CLI(Command Line Interface)를 악용해 정부 기관과 핵심 인프라에 침투했던 사건입니다. 이들은 장비의 명령줄 인터페이스를 통해 트래픽을 조작하고, 로깅 기능을 무력화하며, 은밀하게 네트워크를 감시했습니다.
네트워크 장비의 CLI는 관리자가 라우터, 스위치, 방화벽 등을 설정하고 관리하는 핵심 도구입니다. 하지만 공격자가 이 CLI에 접근하면, 네트워크의 심장부를 직접 조작할 수 있게 됩니다.
💡 쉬운 비유: 네트워크 장비의 CLI는 건물의 중앙 제어실과 같습니다. 여기에 접근하면 엘리베이터, 전력, 보안 시스템까지 모든 것을 조작할 수 있습니다.
1. 공격자 관점
왜 이 기법을 사용하는가
- 네트워크의 중심부 장악: 라우터나 방화벽을 제어하면 전체 네트워크 트래픽을 조작할 수 있음
- 탐지 회피: 네트워크 장비의 로깅 기능을 CLI로 직접 비활성화하여 흔적을 지울 수 있음
- 지속적 접근: 네트워크 장비에 백도어를 설치하면 오랜 기간 은밀하게 활동 가능
동작 흐름
💡 쉬운 비유: 마치 건물 관리실에 몰래 들어가서 CCTV를 끄고, 출입문을 조작하고, 자신만의 비밀 통로를 만드는 것과 같습니다.
2. 실제 공격 사례
📌 ArcaneDoor 캠페인 - Cisco ASA 장비 대상 공격 (2024)
배경: 국가 지원을 받는 것으로 추정되는 공격자들이 전 세계 정부 기관과 핵심 인프라의 Cisco ASA VPN 장비를 표적으로 삼았습니다. 이들의 목적은 장기간에 걸친 정보 수집과 네트워크 감시였습니다.
공격 과정:
- 초기 침투: 취약점을 악용하여 Cisco ASA 장비에 접근
- CLI 악용: Line Dancer 악성코드를 통해 네트워크 장비의 CLI에서 네이티브 명령어 실행
- 은밀한 활동: CLI 명령을 통해 로깅 기능을 비활성화하고 트래픽을 조작하여 탐지를 회피
피해 규모: 전 세계 다수의 정부 기관과 핵심 인프라 네트워크가 영향을 받았으며, 장기간에 걸친 정보 탈취가 이루어진 것으로 추정됩니다.
출처: ArcaneDoor - New espionage-focused campaign found targeting perimeter network devices
📌 UNC3886 - RedPenguin 캠페인 (2024)
배경: 중국과 연관된 것으로 추정되는 UNC3886 그룹이 Juniper Networks의 라우터를 표적으로 삼아 정교한 백도어를 설치했습니다. 이들은 주로 정부 기관과 통신 서비스 제공업체를 노렸습니다.
공격 과정:
- 장비 침투: 수명이 끝난 Juniper MX 라우터의 취약점을 악용하여 접근
- CLI 접근: Junos OS CLI에 직접 접근하여 TINYSHELL 기반의 커스텀 백도어 설치
- 지속성 확보: CLI 명령을 통해 로깅 메커니즘을 비활성화하고 능동적/수동적 백도어 기능을 구현
피해 규모: 다수의 통신 서비스 제공업체와 정부 기관의 핵심 네트워크 인프라가 장기간 감시당했습니다.
출처: Ghost in the Router: China-Nexus Espionage Actor UNC3886 Targets Juniper Routers
3. 왜 탐지가 어려운가?
공식 탐지 방법
DET0142 네트워크 장비에서의 CLI 남용 행동 탐지: 네트워크 장비에서 명령줄 인터페이스(CLI)의 무단 또는 비정상적 사용을 탐지합니다. 원격 접속 세션(SSH/Telnet), CLI 세션 내 권한 상승, 고위험 명령어 실행(config replace, terminal monitor, no logging 등), 승인된 시간 외 설정 변경에 중점을 둡니다.
공격자가 이 기법을 선호하는 이유
- 정당한 관리 도구: CLI는 네트워크 관리자가 일상적으로 사용하는 정상적인 도구이므로, 악의적 활동과 정상 관리 활동을 구분하기 어려움
- 직접적인 제어: 네트워크 장비를 직접 조작하므로 중간 시스템의 보안 솔루션을 우회할 수 있음
- 로깅 조작 가능: CLI를 통해 장비의 로깅 기능 자체를 비활성화할 수 있어 증거 인멸이 용이함
탐지의 현실적 한계
많은 조직에서 네트워크 장비의 CLI 활동을 실시간으로 모니터링하는 시스템이 부족합니다. 또한 정상적인 관리 활동과 악의적 활동을 구분하기 위해서는 높은 수준의 전문 지식이 필요하며, 24시간 모니터링 체계를 구축하는 데 상당한 비용이 듭니다. 특히 수명이 끝난 장비의 경우 최신 보안 기능이나 모니터링 도구와의 호환성이 떨어져 탐지가 더욱 어려워집니다.
4. 나도 위험할까? 자가 진단
이 공격이 나와 관련 있는지 확인해보세요.
이런 환경이라면 주의가 필요합니다
- 수명이 끝나거나 오래된 네트워크 장비(라우터, 스위치, 방화벽)를 사용 중인 경우
- 네트워크 장비에 대한 SSH나 Telnet 원격 접속이 인터넷에 노출되어 있는 경우
- 네트워크 관리자 계정의 비밀번호가 단순하거나 다중 인증을 사용하지 않는 경우
- 네트워크 장비의 CLI 활동에 대한 로깅이나 모니터링 체계가 없는 경우
공식 대응 방안
M1038 실행 방지: TACACS+를 통해 관리자가 사용할 수 있는 명령어를 인증 및 명령 권한 부여 설정을 통해 제어할 수 있습니다.
M1026 특권 계정 관리: 인증, 권한 부여, 회계(AAA) 시스템을 사용하면 관리자가 수행할 수 있는 작업을 제한하고 사용자 행동의 이력을 제공하여 무단 사용과 남용을 탐지할 수 있습니다. TACACS+는 인증 및 명령 권한 부여 설정을 통해 관리자가 사용할 수 있는 명령어를 제어할 수 있습니다.
M1018 사용자 계정 관리: 인증, 권한 부여, 회계(AAA) 시스템을 사용하면 사용자가 수행할 수 있는 작업을 제한하고 사용자 행동의 이력을 제공하여 무단 사용과 남용을 탐지할 수 있습니다. 권한이 있는 사용자만 설정 변경을 수행할 수 있도록 사용자 계정과 그룹에 최소 권한 원칙을 적용해야 합니다.
당장 할 수 있는 것
- 네트워크 장비의 펌웨어를 최신 버전으로 업데이트하고 보안 패치 적용하기
- 네트워크 관리자 계정에 강력한 비밀번호와 다중 인증(MFA) 설정하기
- 이상한 네트워크 성능 저하나 예상치 못한 설정 변경 발견 시 즉시 전문가에게 문의하거나 관련 기관에 신고하기
5. 관련 기술
| 기법 | 어떤 상황에서 함께 사용되나 |
|---|---|
| T1505.003 Web Shell | 네트워크 장비에 CLI 백도어를 설치한 후, 웹 인터페이스를 통한 추가적인 접근 경로를 확보할 때 |
| T1562.001 Disable or Modify Tools | CLI를 통해 네트워크 장비의 로깅 기능이나 보안 모니터링 도구를 비활성화할 때 |
| T1021.004 SSH | 네트워크 장비의 CLI에 원격으로 접근하기 위한 초기 연결 수단으로 SSH를 사용할 때 |
참고 자료
📌 이 글은 AI(Claude) 를 활용하여 작성되었으며, MITRE ATT&CK v18.0 기준 (2025-10-28) 을 기준으로 합니다. 본 콘텐츠는 보안 교육 및 방어 목적으로만 제공되며, 이를 악용한 불법 행위에 대한 책임은 전적으로 행위자 본인에게 있습니다.
?뱛 ??湲? [?ㅽ겕由쏀듃 ?ㅽ뻾(T1059) ?쒕━利?(/blog/t1059-command-and-scripting-interpreter)???쇰??낅땲??
COMMENTS (0)
댓글은 익명으로 작성되며, 삭제 비밀번호를 설정하면 본인만 삭제할 수 있습니다. 비밀번호를 설정하지 않은 댓글은 누구나 삭제할 수 있습니다.