Indicator Blocking: 공격자가 보안 지표(IoC)를 차단하는 원리 | T1562.006

$ cat ./report.md

MITRE ATT&CK: T1562.006 (Indicator Blocking) | 전술: Defense Evasion | 플랫폼: Windows, Linux, macOS

검색 키워드: IoC(침해 지표), Indicator of Compromise

도입: 왜 이 공격이 중요한가

2022년 10월, 유럽 정부기관이 해킹당했을 때 가장 무서웠던 점은 해커의 흔적을 찾을 수 없었다는 것입니다. 보안팀이 로그를 확인해도 공격 흔적은 온데간데없었고, 마치 투명인간이 침입한 것처럼 보였습니다. 해커들은 침입 전에 이미 보안 시스템의 '눈'을 가려버렸기 때문입니다.

Indicator Blocking 은 공격자가 보안 시스템이 자신의 활동을 감지하고 기록하는 것을 막는 기법입니다. Windows의 이벤트 로그, ETW(Event Tracing for Windows), Linux의 syslog 등 보안 담당자가 의존하는 모든 감시 체계를 무력화시킵니다.

💡 쉬운 비유: 은행털이범이 CCTV 전원을 끄고 경비원의 라디오를 방해하는 것과 같습니다. 범죄는 그대로 일어나지만 아무도 알 수 없게 됩니다.

1. 공격자 관점

왜 이 기법을 사용하는가

은밀성 확보: 자신의 활동이 로그에 남지 않아 장기간 탐지를 피할 수 있음
포렌식 증거 제거: 사후 조사 시 공격 경로와 피해 규모를 파악하기 어렵게 만듦
실시간 탐지 회피: SIEM, EDR 등 실시간 보안 솔루션의 알림 기능을 무력화

동작 흐름

공격자는 먼저 시스템에 침입한 후, 관리자 권한을 획득합니다. 그 다음 Windows 레지스트리에서 이벤트 로그 경로를 변경하거나, PowerShell의 Set-EtwTraceProvider 명령으로 ETW를 비활성화합니다. 동시에 방화벽 규칙을 추가하여 SIEM 서버로의 로그 전송을 차단합니다.

💡 쉬운 비유: 도둑이 집에 침입하기 전에 현관문의 초인종 선을 끊고, 이웃집으로 가는 전화선도 차단하는 것과 같습니다.

2. 실제 공격 사례

📌 APT41 - ETW 우회 인젝터 공격 (2021년)

배경: 중국 연계 해킹그룹 APT41이 전 세계 기업들을 대상으로 한 대규모 사이버 스파이 작전에서 탐지 회피를 위해 사용했습니다.

공격 과정:

스피어피싱으로 초기 침입 후 맞춤형 인젝터 도구 설치
인젝터가 ETW(Event Tracing for Windows) 기능을 완전히 우회하도록 설정
악성 프로세스가 Windows 로깅 시스템에서 완전히 보이지 않게 되어 장기간 활동

피해 규모: 전 세계 수십 개 기업의 민감 정보 탈취, 수개월간 탐지되지 않음

출처: Group-IB - APT41 World Tour 2021

📌 APT5 - CLEANPULSE 유틸리티 공격 (2021년)

배경: 중국 연계 APT5 그룹이 Pulse Secure VPN 장비를 통해 미국과 유럽의 정부기관, 방산업체를 공격할 때 사용했습니다.

공격 과정:

Pulse Secure VPN 취약점을 통해 네트워크 장비 장악
CLEANPULSE라는 전용 도구로 특정 프로세스에 명령어 문자열 삽입
특정 로그 이벤트가 생성되지 않도록 조작하여 공격 활동 은폐

피해 규모: 국방, 정부, 첨단기술, 교통, 금융 분야의 핵심 기관들이 피해

출처: Re-Checking Your Pulse: Updates on Chinese APT Actors

📌 BOLDMOVE 말웨어 - Fortinet 장비 공격 (2022년)

배경: 중국 연계 해킹그룹이 FortiOS SSL-VPN 제로데이 취약점(CVE-2022-42475)을 악용하여 유럽 정부기관과 아프리카 관리서비스 업체를 공격했습니다.

공격 과정:

FortiGate 방화벽의 제로데이 취약점으로 침입
BOLDMOVE 말웨어가 Fortinet의 moglogd, syslogd 데몬을 비활성화
로깅과 탐지 기능을 완전히 차단한 상태에서 장기간 정보 수집

피해 규모: 정부 기밀 정보와 관리서비스 고객 데이터 대량 탈취

출처: Suspected Chinese Threat Actors Exploiting FortiOS Vulnerability

3. 왜 탐지가 어려운가?

공식 탐지 방법

DET0239 방어 무력화 지표 차단 탐지 전략: EventLog나 WMI Autologger 키의 레지스트리 수정, Set-EtwTraceProvider의 의심스러운 사용, Sysmon 구성 변경을 상관분석합니다. 방어자는 ETW와 로그 이벤트 수집의 중단이나 리디렉션을 확인할 수 있습니다.

공격자가 이 기법을 선호하는 이유

탐지 시스템 자체를 무력화: 보안 도구가 의존하는 기본 데이터 소스를 차단해버림
정상적인 관리 작업으로 위장: PowerShell 명령이나 레지스트리 수정은 일반적인 시스템 관리 업무로 보임
실시간 재부팅 불필요: 레지스트리 수정만으로 즉시 효과가 나타나 빠른 은폐 가능

탐지의 현실적 한계

공식 탐지 방법이 존재하지만 실제 환경에서는 한계가 많습니다. 레지스트리 수정은 정상적인 시스템 업데이트나 소프트웨어 설치 시에도 빈번하게 발생하여 오탐이 많고, 중소기업에서는 고급 상관분석 도구를 운영하기 어렵습니다. 또한 공격자가 로그 시스템을 먼저 무력화하면 탐지 자체가 불가능해집니다.

4. 나도 위험할까? 자가 진단

이 공격이 나와 관련 있는지 확인해보세요.

이런 환경이라면 주의가 필요합니다

회사에서 VPN이나 원격접속 솔루션을 사용하고 있다 (특히 Pulse Secure, FortiGate 등)
IT 관리자가 PowerShell이나 레지스트리를 자주 수정하지만 변경 내역을 체계적으로 관리하지 않는다
보안 로그를 중앙에서 수집하지 않거나, 로그 전송이 중단되어도 즉시 알림을 받지 못한다
네트워크 장비나 보안 장비의 펌웨어 업데이트를 정기적으로 하지 않는다

공식 대응 방안

M1022 파일 및 디렉터리 권한 제한: 이벤트 추적기/전달자, 방화벽 정책 및 기타 관련 메커니즘이 적절한 권한과 접근 제어로 보호되도록 합니다.

M1054 소프트웨어 구성: 전달 메커니즘을 정기적인 간격(시간별, 로그온 시 등)으로 자동 재시작하고, 방화벽 규칙 및 기타 관련 시스템 구성에 적절한 변경 관리를 적용하는 것을 고려합니다.

M1018 사용자 계정 관리: 이벤트 추적기/전달자, 방화벽 정책 및 기타 관련 메커니즘이 적절한 권한과 접근 제어로 보호되고 사용자 계정에 의해 조작될 수 없도록 합니다.

당장 할 수 있는 것

회사 PC에서 평소와 다른 느림이나 이상 현상 발견 시 즉시 IT 부서에 신고하기
개인 컴퓨터의 Windows 업데이트와 백신 정의 파일을 최신 상태로 유지하기
🏢 보안 담당자: 로그 전송 중단 시 즉시 알림을 받는 모니터링 시스템 구축 및 레지스트리 변경 사항에 대한 정기적인 감사 수행

5. 관련 기술

기법	어떤 상황에서 함께 사용되나
T1562.001 Disable or Modify Tools	로그 차단 후 백신이나 EDR 도구까지 완전히 비활성화하여 종합적인 방어 무력화를 달성할 때
T1070.001 Clear Windows Event Logs	기존 로그를 삭제한 후 새로운 로그 생성을 차단하여 완전한 증거 인멸을 수행할 때
T1055 Process Injection	로그 시스템을 우회한 상태에서 정상 프로세스에 악성 코드를 주입하여 더욱 은밀하게 활동할 때

참고 자료

MITRE ATT&CK - T1562.006

📌 이 글은 AI(Claude) 를 활용하여 작성되었으며, MITRE ATT&CK v18.0 기준 (2025-10-28) 을 기준으로 합니다. 본 콘텐츠는 보안 교육 및 방어 목적으로만 제공되며, 이를 악용한 불법 행위에 대한 책임은 전적으로 행위자 본인에게 있습니다.

?뱛 ??湲? [蹂댁븞 臾대젰??T1562) ?쒕━利?(/blog/t1562-impair-defenses)???쇰??낅땲??

COMMENTS (0)

댓글은 익명으로 작성되며, 삭제 비밀번호를 설정하면 본인만 삭제할 수 있습니다. 비밀번호를 설정하지 않은 댓글은 누구나 삭제할 수 있습니다.