MITRE ATT&CK: T1562.004 (Disable or Modify System Firewall) | 전술: Defense Evasion | 플랫폼: Linux, macOS, Windows, VMware vSphere
검색 키워드: iptables, netsh, 방화벽 규칙
도입: 왜 이 공격이 중요한가
2022년 2월, 러시아의 우크라이나 침공 직전에 발생한 한 사건이 보안 업계를 충격에 빠뜨렸습니다. APT28로 알려진 러시아 해킹 그룹이 미국의 한 조직을 침투하면서, 네트워크 방화벽 규칙을 조작해 포트 포워딩을 설정하고 은밀한 통신 채널을 구축했던 것입니다. 이들은 단순히 방화벽을 끄는 것이 아니라, 교묘하게 규칙을 추가하여 자신들만의 '뒷문'을 만들어냈습니다.
T1562.004 Disable or Modify System Firewall 은 공격자가 시스템 방화벽을 비활성화하거나 수정하여 네트워크 통신 제한을 우회하는 기법입니다. 이는 단순히 방화벽을 끄는 것부터 특정 포트에 대한 규칙을 추가하거나 삭제하는 것까지 다양한 형태로 나타납니다.
💡 쉬운 비유: 건물의 출입 통제 시스템을 해킹해서 특정 문을 항상 열어두거나, 자신만 알고 있는 비밀 통로를 만드는 것과 같습니다.
1. 공격자 관점
왜 이 기법을 사용하는가
- 은밀한 통신 채널 확보: 기존 방화벽 규칙을 우회하여 C2 서버와의 지속적인 연결을 보장
- 측면 이동(Lateral Movement) 지원: 내부 네트워크에서 다른 시스템으로의 접근 경로 확보
- 데이터 유출 경로 개방: 대용량 데이터 전송을 위한 네트워크 제한 해제
동작 흐름
공격자는 먼저 시스템에 침투한 후 관리자 권한을 획득하고, 현재 방화벽 설정을 파악합니다. 그 다음 자신들의 목적에 맞게 방화벽 규칙을 조작하여 외부 통신이나 내부 이동을 위한 경로를 확보합니다.
2. 실제 공격 사례
📌 APT28 - Nearest Neighbor Campaign (2022)
배경: 러시아 침공 직전, APT28은 우크라이나 관련 전문 지식을 보유한 미국 조직을 표적으로 삼았습니다. 이들의 목표는 우크라이나 관련 프로젝트와 전문가들의 정보를 수집하는 것이었습니다.
공격 과정:
- 조직의 Wi-Fi 네트워크를 통해 초기 침투 성공
- Windows 방화벽에 포트 포워딩을 위한 새로운 규칙들을 추가
- 443, 6443, 8443, 9443 포트를 통한 지속적인 C2 통신 채널 구축
피해 규모: 약 1개월 반 동안 지속된 침투로 우크라이나 관련 민감 정보 대량 유출
출처: The Nearest Neighbor Attack
📌 APT38 - FASTCash 2.0 Campaign (2020)
배경: 북한의 APT38(BeagleBoyz)이 전 세계 은행 시스템을 표적으로 한 금융 사이버 공격에서 방화벽 조작을 활용했습니다.
공격 과정:
- 은행 내부 시스템 침투 후 관리자 권한 획득
- 443, 6443, 8443, 9443 포트에 대한 방화벽 예외 규칙 생성
- 이를 통해 ATM 네트워크와 SWIFT 시스템에 대한 접근 경로 확보
피해 규모: 전 세계 수십 개 은행에서 수억 달러 규모의 금융 손실 발생
출처: CISA Alert AA20-239A - FASTCash 2.0
📌 BACKSPACE Malware - APT30 Campaign (2015)
배경: APT30이 장기간에 걸친 사이버 첩보 활동에서 사용한 BACKSPACE 악성코드는 방화벽 우회를 위한 독특한 방법을 사용했습니다.
공격 과정:
- 시스템 감염 후 설치된 방화벽 소프트웨어 종류 확인
- C2 서버 연결 시도 시 방화벽 경고창이 나타나는지 모니터링
- 방화벽 팝업창을 자동으로 감지하고 마우스 클릭을 시뮬레이션하여 연결 허용
피해 규모: 아시아-태평양 지역 정부 기관 및 기업 다수에 대한 장기간 첩보 활동
3. 왜 탐지가 어려운가?
공식 탐지 방법
DET0145 Detection of Disabled or Modified System Firewalls across OS Platforms - AN0406: netsh(윈도우 방화벽), PowerShell Set-NetFirewallProfile, 또는 sc stop mpssvc를 실행하는 프로세스를 모니터링하여 방화벽 조작을 탐지합니다. 또한 HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy 하위의 레지스트리 수정도 적대적 행위를 나타냅니다.
공격자가 이 기법을 선호하는 이유
- 정당한 관리 작업으로 위장: 방화벽 설정 변경은 IT 관리자가 자주 수행하는 정상적인 작업이므로 의심받지 않음
- 다양한 우회 경로: 명령줄, 레지스트리, GUI 등 여러 방법으로 수행 가능하여 탐지 시그니처 회피 용이
- 즉각적인 효과: 설정 변경 즉시 네트워크 접근 제한이 해제되어 후속 공격 진행 가능
탐지의 현실적 한계
공식 탐지 방법이 존재하지만 실제 환경에서는 여러 제약이 있습니다. IT 관리자들이 일상적으로 방화벽 설정을 변경하기 때문에 높은 오탐률이 발생하며, 모든 방화벽 관련 이벤트를 실시간으로 분석하기에는 보안팀의 리소스가 부족한 경우가 많습니다. 또한 공격자가 기존 규칙을 완전히 삭제하는 대신 교묘하게 수정하는 경우 변화를 감지하기 더욱 어려워집니다.
4. 나도 위험할까? 자가 진단
이 공격이 나와 관련 있는지 확인해보세요.
이런 환경이라면 주의가 필요합니다
- 다수의 직원이 관리자 권한을 보유하고 있는 환경
- 방화벽 설정 변경에 대한 승인 절차나 로깅이 부족한 조직
- 원격 접속(RDP, SSH 등)을 위해 비표준 포트를 사용하는 시스템
- VMware ESXi 등 가상화 인프라를 운영하면서 방화벽 규칙을 자주 변경하는 환경
공식 대응 방안
감사(Audit): 방화벽 수정 권한을 가진 사용자가 예상 범위 내에 있는지 정기적으로 확인합니다.
파일 권한 제한: 방화벽 설정 파일에 대한 적절한 접근 권한을 설정합니다.
레지스트리 권한 제한: Windows 방화벽 관련 레지스트리에 대한 접근 권한을 제한합니다.
사용자 계정 관리: 관리자 권한을 최소한으로 유지하고 정기적으로 검토합니다.
당장 할 수 있는 것
- 공유기나 PC 방화벽 설정을 함부로 변경하지 않고, 필요 시 전문가에게 문의하기
- 의심스러운 프로그램이 네트워크 접근 허용을 요청하면 거부하고 확인하기
- 🏢 보안 담당자: 방화벽 설정 변경 시 승인 절차를 적용하고 모든 변경 내역을 로깅하기
5. 관련 기술
| 기법 | 어떤 상황에서 함께 사용되나 |
|---|---|
| T1021 Remote Services | 방화벽 규칙을 수정한 후 RDP, SSH 등을 통해 다른 시스템으로 측면 이동할 때 |
| T1571 Non-Standard Port | 표준 포트가 차단된 상황에서 비표준 포트를 위한 방화벽 예외 규칙을 생성할 때 |
| T1055 Process Injection | 방화벽을 우회한 후 정상 프로세스에 악성 코드를 주입하여 탐지를 회피할 때 |
참고 자료
📌 이 글은 AI(Claude) 를 활용하여 작성되었으며, MITRE ATT&CK v18.0 기준 (2025-10-28) 을 기준으로 합니다. 본 콘텐츠는 보안 교육 및 방어 목적으로만 제공되며, 이를 악용한 불법 행위에 대한 책임은 전적으로 행위자 본인에게 있습니다.
?뱛 ??湲? [蹂댁븞 臾대젰??T1562) ?쒕━利?(/blog/t1562-impair-defenses)???쇰??낅땲??
COMMENTS (0)
댓글은 익명으로 작성되며, 삭제 비밀번호를 설정하면 본인만 삭제할 수 있습니다. 비밀번호를 설정하지 않은 댓글은 누구나 삭제할 수 있습니다.