cd ../blog
MITRE

Windows 이벤트 로그 비활성화: 공격자가 흔적을 지우는 방법 | T1562.002

읽는 시간 약 8분
조회수 10
MITRE ATT&CK방어 회피Windows 보안APT 분석사건 대응

Windows 이벤트 로그 삭제 기법(T1562.002)으로 공격 흔적을 완전히 제거하는 방식을 분석합니다. PHOSPHORUS, Sandworm 등 실제 APT 사례와 탐지 방법을 확인하세요.

share:
Windows 이벤트 로그 비활성화: 공격자가 흔적을 지우는 방법 | T1562.002

MITRE ATT&CK: T1562.002 (Disable Windows Event Logging) | 전술: Defense Evasion | 플랫폼: Windows

도입: 왜 이 공격이 중요한가

2021년 9월, 한 기업의 Exchange 서버가 이란계 해킹 그룹 PHOSPHORUS 에 의해 침입당했습니다. 공격자들은 ProxyShell 취약점을 통해 시스템에 침투한 후, 가장 먼저 한 일은 Windows 이벤트 로깅 서비스를 비활성화하는 것이었습니다. 이로 인해 이후의 모든 공격 활동이 로그에 기록되지 않았고, 보안팀은 공격의 전모를 파악하는데 큰 어려움을 겪었습니다.

T1562.002 는 공격자가 Windows 시스템의 이벤트 로깅 기능을 의도적으로 비활성화하여 자신들의 활동 흔적을 숨기는 기법입니다. 이는 마치 CCTV 카메라를 끄고 범죄를 저지르는 것과 같습니다.

💡 쉬운 비유: Windows 이벤트 로그는 건물의 출입 기록부와 같습니다. 누가 언제 들어왔는지, 어떤 일을 했는지 모두 기록되죠. 공격자들은 이 기록부를 없애거나 기록을 중단시켜 자신들의 행적을 감추려 합니다.

1. 공격자 관점

왜 이 기법을 사용하는가

  • 완벽한 은폐: 이벤트 로그가 비활성화되면 이후의 모든 공격 활동이 기록되지 않아 포렌식 분석을 거의 불가능하게 만듭니다
  • 탐지 회피: 보안 도구들이 의존하는 Windows 이벤트 로그가 없으면 대부분의 자동화된 탐지 시스템이 무력화됩니다
  • 지속성 확보: 로그 기록이 중단되면 공격자는 장기간 시스템에 머물면서 추가 공격을 수행할 수 있습니다

동작 흐름

공격자는 먼저 시스템에 침입한 후 관리자 권한을 획득합니다. 그 다음 여러 방법을 통해 이벤트 로깅을 비활성화합니다:

  1. 서비스 중지: Set-Service -Name EventLog -Status Stopped 명령으로 EventLog 서비스를 직접 중지
  2. 레지스트리 조작: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog 의 "Start" 값을 수정하여 서비스 자동 시작 방지
  3. 감사 정책 변경: auditpol /clear /y 명령으로 모든 감사 정책을 삭제

💡 쉬운 비유: 이는 마치 범인이 범행 후 목격자들의 진술서를 모두 불태우고, 출입 기록부를 찢어버리고, 심지어 CCTV 하드디스크까지 파괴하는 것과 같습니다. 증거가 없으면 수사가 불가능해집니다.

2. 실제 공격 사례

📌 PHOSPHORUS (Magic Hound) - Exchange 익스플로잇 공격 (2021)

배경: 이란계 국가 지원 해킹 그룹인 PHOSPHORUS (Magic Hound)가 Microsoft Exchange 서버의 ProxyShell 취약점을 악용하여 기업 네트워크에 침입했습니다. 이들의 목표는 장기간 잠복하며 민감한 정보를 수집하는 것이었습니다.

공격 과정:

  1. 초기 침입: CVE-2021-34473, CVE-2021-34523, CVE-2021-31207 취약점을 연쇄적으로 악용하여 Exchange 서버에 웹셸 설치
  2. 로깅 비활성화: 시스템 권한 획득 후 즉시 스크립트를 실행하여 Windows 이벤트 로그 서비스를 비활성화하고 기존 로그 파일들을 삭제
  3. 지속적 활동: LSASS 메모리 덤프, Plink을 통한 RDP 프록시 연결, 최종적으로 BitLocker와 DiskCryptor를 이용한 전사적 암호화 수행

피해 규모: 도메인 전체 시스템이 암호화되었으며, 공격자들은 몇 달간 네트워크에 잠복하며 활동했음에도 불구하고 로그 삭제로 인해 정확한 피해 규모 파악이 어려웠습니다.

출처: Exchange Exploit Leads to Domain Wide Ransomware

📌 Sandworm Team - 우크라이나 전력망 공격 (2016)

배경: 러시아 군사정보기관 GRU 산하 Sandworm Team 이 우크라이나의 전력 인프라를 마비시키기 위해 CRASHOVERRIDE 악성코드를 사용한 사이버 공격을 수행했습니다.

공격 과정:

  1. 인프라 침입: 스피어피싱과 워터링 홀 공격을 통해 전력회사 네트워크에 침입
  2. 은폐 작업: 시스템 장악 후 즉시 이벤트 로깅을 비활성화하여 이후 모든 공격 활동의 흔적을 제거
  3. 전력망 조작: SCADA 시스템에 CRASHOVERRIDE를 배포하여 전력 차단 장치를 원격으로 조작

피해 규모: 우크라이나 수도 키예프 일대가 정전되었으며, 공격의 정확한 경로와 방법을 파악하는데 로그 부재로 인해 상당한 시간이 소요되었습니다.

출처: 2016 Ukraine Electric Power Attack - MITRE ATT&CK Campaign C0025

📌 Iranian APT - 알바니아 정부 공격 (HomeLand Justice, 2022)

배경: 이란계 해킹 그룹이 HomeLand Justice 작전의 일환으로 알바니아 정부 기관들을 대상으로 한 대규모 사이버 공격을 수행했습니다.

공격 과정:

  1. 정부 네트워크 침입: 다양한 취약점을 악용하여 알바니아 정부 기관의 IT 시스템에 침입
  2. 증거 인멸: Windows 이벤트 로그와 애플리케이션 로그를 체계적으로 삭제하여 공격 흔적을 완전히 제거
  3. 파괴적 공격: 중요 시스템과 데이터를 파괴하여 정부 업무를 마비시킴

피해 규모: 알바니아 정부의 다수 기관이 서비스 중단을 겪었으며, 로그 삭제로 인해 공격의 전체 범위를 파악하는데 몇 개월이 소요되었습니다.

출처: Iranian State Actors Conduct Cyber Operations Against Albania - CISA

3. 왜 탐지가 어려운가?

공식 탐지 방법

DET0187 Windows 이벤트 로깅 비활성화 탐지: EventLog 서비스 중지나 비활성화 시도, EventLog 및 Autologger 관련 레지스트리 키 수정, auditpol이나 wevtutil을 사용한 카테고리 비활성화나 감사 정책 삭제, 이벤트 로그의 의심스러운 공백이나 초기화 등을 탐지합니다. 방어자는 레지스트리 변경, 서비스 상태 변경, 비활성화 명령 프로세스 실행, 이벤트 기록 시퀀스의 이상 징후를 모니터링해야 합니다.

공격자가 이 기법을 선호하는 이유

  • 자기 파괴적 특성: 이벤트 로깅을 비활성화하는 순간부터 탐지에 필요한 로그 자체가 생성되지 않아 이후 활동이 완전히 은밀해집니다
  • 소급 조사 방해: 기존 로그까지 삭제하면 공격 이전의 상황도 파악하기 어려워져 포렌식 분석을 극도로 어렵게 만듭니다
  • 다양한 우회 경로: 서비스 중지, 레지스트리 수정, 감사 정책 변경 등 여러 방법이 있어 하나가 막혀도 다른 방법으로 목적을 달성할 수 있습니다

탐지의 현실적 한계

공식 탐지 방법이 존재하지만 실제 환경에서는 여러 한계가 있습니다. 먼저 이벤트 로깅이 비활성화되는 순간부터 탐지 시스템 자체가 필요한 데이터를 받을 수 없게 됩니다. 또한 정상적인 시스템 관리 작업과 악의적인 로그 비활성화를 구분하기 어려워 오탐이 많이 발생합니다. 무엇보다 많은 기업들이 실시간 로그 모니터링 시스템을 구축하지 않아 공격이 발생해도 즉시 알아차리기 어려운 것이 현실입니다.

4. 나도 위험할까? 자가 진단

이 공격이 나와 관련 있는지 확인해보세요.

이런 환경이라면 주의가 필요합니다

  • Exchange 서버나 웹 서버를 운영하고 있으며, 최신 보안 패치가 적용되지 않은 경우
  • 관리자 계정의 비밀번호가 약하거나 다수의 직원이 관리자 권한을 가지고 있는 경우
  • 이벤트 로그 모니터링 시스템이 없거나, 로그를 정기적으로 백업하지 않는 경우
  • 원격 접속(RDP, VPN)을 허용하지만 접속 로그를 모니터링하지 않는 경우

공식 대응 방안

M1047 감사 (Audit): 관리자 계정의 auditpol 설정에 대한 정기적인 검토를 고려하고 SIEM에서 동적 베이스라이닝을 수행하여 잠재적인 악의적 활동을 조사합니다. 또한 EventLog 서비스와 해당 스레드가 올바르게 실행되고 있는지 확인해야 합니다.

M1022 파일 및 디렉토리 권한 제한: 공격자가 로깅을 비활성화하거나 방해하거나 .evtx 로깅 파일을 삭제하거나 수정하는 것을 방지하기 위해 적절한 프로세스 및 파일 권한이 적용되어 있는지 확인합니다. C:\Windows\system32\Winevt\Logs에 위치한 .evtx 파일이 제한적이고 합법적인 접근을 위한 적절한 파일 권한과 탐지를 위한 감사 정책을 가지고 있는지 확인해야 합니다.

M1024 레지스트리 권한 제한: 공격자가 로깅을 비활성화하거나 방해하는 것을 방지하기 위해 적절한 레지스트리 권한이 적용되어 있는지 확인합니다. MiniNT 레지스트리 키 추가는 이벤트 뷰어를 비활성화합니다.

M1018 사용자 계정 관리: 공격자가 로깅을 비활성화하거나 방해하는 것을 방지하기 위해 적절한 사용자 권한이 적용되어 있는지 확인합니다.

당장 할 수 있는 것

  • Windows 이벤트 뷰어에서 로그가 갑자기 사라졌는지 주기적으로 확인하기
  • 시스템이 갑자기 느려지거나 이상한 동작 발견 시 전문가에게 문의하기
  • 🏢 보안 담당자: 이벤트 로그를 중앙 로그 서버(SIEM)로 실시간 백업하고 무결성 모니터링 적용하기

5. 관련 기술

기법어떤 상황에서 함께 사용되나
T1070.001 Clear Windows Event Logs이벤트 로깅을 비활성화하기 전에 기존에 남아있던 공격 흔적을 제거할 때 함께 사용
T1562.001 Disable or Modify Tools이벤트 로깅과 함께 백신, EDR 등 다른 보안 도구들도 동시에 비활성화하여 완전한 탐지 회피를 달성할 때
T1112 Modify Registry이벤트 로깅 비활성화를 위해 레지스트리를 수정하거나, 다른 시스템 설정도 함께 변경할 때

참고 자료

📌 이 글은 AI(Claude) 를 활용하여 작성되었으며, MITRE ATT&CK v18.0 기준 (2025-10-28) 을 기준으로 합니다. 본 콘텐츠는 보안 교육 및 방어 목적으로만 제공되며, 이를 악용한 불법 행위에 대한 책임은 전적으로 행위자 본인에게 있습니다.

?뱛 ??湲€?€ [蹂댁븞 臾대젰??T1562) ?쒕━利?(/blog/t1562-impair-defenses)???쇰??낅땲??

COMMENTS (0)

댓글은 익명으로 작성되며, 삭제 비밀번호를 설정하면 본인만 삭제할 수 있습니다. 비밀번호를 설정하지 않은 댓글은 누구나 삭제할 수 있습니다.