cd ../blog
MITRE

EDR 우회 공격: 보안 도구를 무력화하는 첫 번째 단계 | T1562.001

읽는 시간 약 8분
조회수 9
MITRE ATT&CKDefense EvasionEDR 보안사이버 위협보안 인시던트

EDR 우회 공격으로 보안 도구를 무력화하는 T1562.001 기법. Agonizing Serpens 사례 포함. 공격자 전술, 탐지 방법, 방어 전략을 실제 사례로 학습하세요.

share:
EDR 우회 공격: 보안 도구를 무력화하는 첫 번째 단계 | T1562.001

MITRE ATT&CK: T1562.001 (Disable or Modify Tools) | 전술: Defense Evasion | 플랫폼: Windows, Linux, macOS, Network, Containers

도입: 왜 이 공격이 중요한가

2023년 이스라엘 대학교와 기술 기업들이 연쇄 해킹을 당했을 때, 공격자들이 가장 먼저 한 일은 무엇이었을까요? 바로 피해자 시스템의 보안 도구들을 하나씩 무력화시키는 것이었습니다. 이란 연계 해킹 그룹 Agonizing Serpens 는 EDR 서비스의 자동 시작을 비활성화하고, 루트킷 제거 도구로 위장한 GMER64.sys 드라이버를 악용해 보안 소프트웨어 프로세스를 선택적으로 중단시켰습니다.

T1562.001 Disable or Modify Tools 는 공격자가 보안 도구를 비활성화하거나 변조하여 자신의 악성 활동을 숨기는 기법입니다. 안티바이러스 프로세스 종료, 레지스트리 키 삭제, 보안 서비스 중단, 심지어 클라우드 모니터링 에이전트까지 무력화시킵니다.

💡 쉬운 비유: 은행 강도가 금고를 털기 전에 경비원에게 수면제를 먹여 잠들게 하는 것과 같습니다. 아무리 훌륭한 경비원(백신/EDR)이라도 잠들어 있으면 침입자를 막을 수 없습니다.

1. 공격자 관점

왜 이 기법을 사용하는가

  • 탐지 회피: EDR, 안티바이러스, 로그 수집 도구를 무력화하여 악성 활동이 기록되지 않도록 함
  • 지속성 확보: 보안 도구가 재시작되지 않도록 서비스와 레지스트리를 조작하여 장기간 시스템에 잠복
  • 공격 확산: 보안 모니터링이 중단된 상태에서 네트워크 내 다른 시스템으로 자유롭게 이동

동작 흐름

공격자는 먼저 시스템에 침투한 후 관리자 권한을 획득합니다. 그 다음 실행 중인 보안 도구들을 식별하고, 프로세스 종료, 서비스 중단, 레지스트리 키 삭제 등의 방법으로 보안 시스템을 무력화합니다. 이후 탐지 위험 없이 데이터 탈취, 랜섬웨어 배포 등의 악성 활동을 수행합니다.

2. 실제 공격 사례

📌 Agonizing Serpens (Agrius) - 이스라엘 교육/기술 분야 공격 (2023)

배경: 이란 연계 APT 그룹 Agonizing Serpens 가 2023년 1월부터 10월까지 이스라엘의 대학교와 기술 기업들을 대상으로 개인정보와 지적재산을 탈취하는 파괴적 사이버 공격을 감행했습니다.

공격 과정:

  1. 초기 침투 후 시스템 내 EDR 관련 서비스를 식별
  2. EDR 서비스의 시스템 재부팅 시 자동 시작 기능을 비활성화하도록 레지스트리 조작
  3. 안티 루트킷 도구로 위장한 GMER64.sys 드라이버를 악용하여 보안 소프트웨어 프로세스를 선택적으로 중단 및 제거
  4. 보안 모니터링이 중단된 상태에서 MultiLayer, PartialWasher, BFG Agonizer 등 다양한 와이퍼를 배포하여 데이터 파괴

피해 규모: 이스라엘 교육 및 기술 분야 다수 기관의 개인정보, 지적재산 탈취 및 시스템 파괴

출처: Agonizing Serpens (Aka Agrius) Targeting the Israeli Higher Education and Tech Sectors

📌 Agent Tesla - VBA 매크로를 통한 보안 우회 (2017)

배경: .NET 기반 정보 탈취 악성코드 Agent Tesla 가 Microsoft Word 문서의 악성 VBA 매크로를 통해 확산되면서 피해자 시스템의 보안 설정을 조작했습니다.

공격 과정:

  1. 악성 Word 문서가 열리면 VBA 매크로가 자동 실행
  2. 레지스트리에 보안 우회 키 값 작성: HKCU\Software\Microsoft\Office\{version}\Word\Security\AccessVBOM=1, VBAWarning=1
  3. 실행 중인 분석 도구와 안티바이러스 소프트웨어 프로세스를 탐지하여 강제 종료
  4. 보안 도구가 무력화된 상태에서 키로거, 스크린샷 캡처, 브라우저 자격증명 탈취 등 악성 활동 수행

피해 규모: 전 세계적으로 확산된 정보 탈취 캠페인으로 수많은 개인 및 기업 사용자의 민감 정보 유출

출처: In-Depth Analysis of A New Variant of .NET Malware AgentTesla

📌 Sandworm Team - 우크라이나 전력망 공격 (2015)

배경: 러시아 연계 해킹 그룹 Sandworm Team 이 우크라이나 전력 인프라를 마비시키기 위해 SCADA 시스템을 공격하면서 보안 설정을 조작했습니다.

공격 과정:

  1. 스피어피싱을 통해 전력회사 내부 네트워크에 침투
  2. 레지스트리의 인터넷 보안 설정을 낮은 수준으로 변경하여 추가 악성코드 다운로드 용이하게 조작
  3. BlackEnergy 악성코드와 KillDisk 와이퍼를 배포하여 시스템 파괴
  4. 전력 제어 시스템을 조작하여 대규모 정전 사태 야기

피해 규모: 우크라이나 서부 지역 약 23만 명이 1-6시간 정전 피해, 전력 인프라 시설 다수 파괴

출처: When The Lights Went Out

3. 왜 탐지가 어려운가?

공식 탐지 방법

DET0497 Detection of Impair Defenses through Disabled or Modified Tools across OS Platforms - AN1369: 보안 도구를 비활성화하거나 수정하는 공격자 행위 탐지. AV/EDR 프로세스 종료, 서비스 중단, Sysmon 레지스트리 키 변경, 제외 목록 조작 등을 포함. 방어자는 프로세스/서비스 종료, 레지스트리 수정, 예상 텔레메트리의 비정상적 부재를 관찰해야 함.

공격자가 이 기법을 선호하는 이유

  • 정당한 도구 악용: GMER, Process Explorer 등 합법적인 시스템 관리 도구를 악용하므로 의심받지 않음
  • 권한 기반 우회: 관리자 권한을 획득한 후에는 대부분의 보안 도구를 합법적으로 중단시킬 수 있음
  • 다단계 무력화: 프로세스 종료 → 서비스 중단 → 레지스트리 조작 → 재시작 방지의 다층적 접근으로 복구를 어렵게 만듦

탐지의 현실적 한계

공식 탐지 방법이 존재하지만 실제 환경에서는 구현이 어렵습니다. 시스템 관리자가 정당한 이유로 보안 도구를 일시 중단하는 경우가 많아 오탐률이 높고, 수많은 프로세스와 서비스 이벤트 중에서 악의적 활동만을 구분해내기 위해서는 고도의 분석 능력과 비싼 SIEM 도구가 필요합니다. 또한 공격자가 Windows Protected Process Light로 보호되지 않는 헬퍼 프로세스를 노리거나, 클라우드 모니터링 에이전트처럼 가시성이 낮은 도구를 대상으로 할 때는 탐지가 더욱 어려워집니다.

4. 나도 위험할까? 자가 진단

이 공격이 나와 관련 있는지 확인해보세요.

이런 환경이라면 주의가 필요합니다

  • 관리자 권한을 가진 계정이 많거나, 권한 관리가 느슨한 조직
  • 보안 도구의 상태를 정기적으로 점검하지 않는 환경
  • 클라우드 모니터링 에이전트나 EDR 도구가 설치되어 있지만 중앙 관리되지 않는 시스템
  • 시스템 관리자가 보안 도구를 자주 수동으로 중단하거나 제외 목록을 추가하는 조직

공식 대응 방안

M1047 감사(Audit): 도구들이 적절히 작동하고 있는지 정기적으로 확인. 예를 들어, EDR이나 모니터링 에이전트가 설치된 모든 호스트가 중앙 콘솔에 정상적으로 체크인하는지 검증. EDR에서 예상치 못한 제외 경로가 추가되지 않았는지 확인. Microsoft Defender for Endpoint의 경우 Get-MpPreference cmdlet으로 제외 목록을 검토할 수 있음.

M1038 실행 방지(Execution Prevention): 적절한 애플리케이션 제어 사용. 특히 조직의 보안 정책 외부 도구들(루트킷 제거 도구 등)의 실행을 제한. 시스템 방어를 손상시키는 데 악용된 도구들에 대해서는 더욱 엄격한 통제 적용. 승인된 보안 애플리케이션만 기업 시스템에서 사용되고 실행되도록 보장.

M1022 파일 및 디렉터리 권한 제한(Restrict File and Directory Permissions): 공격자가 보안 서비스를 비활성화하거나 간섭하는 것을 방지하기 위해 적절한 프로세스 및 파일 권한을 설정.

M1024 레지스트리 권한 제한(Restrict Registry Permissions): 공격자가 보안 서비스를 비활성화하거나 간섭하는 것을 방지하기 위해 적절한 레지스트리 권한을 설정.

M1018 사용자 계정 관리(User Account Management): 공격자가 보안 서비스를 비활성화하거나 간섭하는 것을 방지하기 위해 적절한 사용자 권한을 설정.

당장 할 수 있는 것

  • 백신 프로그램이 갑자기 꺼지거나 업데이트가 안 되는지 주기적으로 확인하기
  • 백신 아이콘이 시스템 트레이에서 사라졌다면 즉시 확인하고 전문가에게 문의하기
  • 🏢 보안 담당자: EDR/백신 에이전트 상태를 중앙 콘솔에서 실시간 모니터링하고 연결 끊김 알림 설정하기

5. 관련 기술

기법어떤 상황에서 함께 사용되나
T1055 Process Injection보안 도구를 무력화한 후, 탐지를 피하기 위해 정상 프로세스에 악성 코드를 주입하여 지속적인 활동을 수행할 때
T1070 Indicator Removal보안 도구를 중단시킨 상태에서 로그 파일과 아티팩트를 삭제하여 공격 흔적을 완전히 제거할 때
T1543 Create or Modify System Process보안 서비스를 중단한 후, 악성 서비스를 등록하여 시스템 재부팅 후에도 지속성을 유지할 때

참고 자료

📌 이 글은 AI(Claude) 를 활용하여 작성되었으며, MITRE ATT&CK v18.0 기준 (2025-10-28) 을 기준으로 합니다. 본 콘텐츠는 보안 교육 및 방어 목적으로만 제공되며, 이를 악용한 불법 행위에 대한 책임은 전적으로 행위자 본인에게 있습니다.

?뱛 ??湲€?€ [蹂댁븞 臾대젰??T1562) ?쒕━利?(/blog/t1562-impair-defenses)???쇰??낅땲??

COMMENTS (0)

댓글은 익명으로 작성되며, 삭제 비밀번호를 설정하면 본인만 삭제할 수 있습니다. 비밀번호를 설정하지 않은 댓글은 누구나 삭제할 수 있습니다.