클라우드 로그 삭제와 변조: 공격자가 AWS/Azure 흔적을 지우는 원리 | T1562.008

MITRE ATT&CK: T1562.008 (Disable or Modify Cloud Logs) | 전술: Defense Evasion | 플랫폼: Azure AD, Google Workspace, IaaS, Office 365, SaaS

도입: 왜 이 공격이 중요한가

2022년 APT29가 Microsoft 365 테넌트를 공격했을 때, 그들이 가장 먼저 한 일은 무엇이었을까요? 바로 Purview Audit을 비활성화하는 것이었습니다. 이메일을 훔치기 전에 말이죠.

클라우드 환경에서 로그는 보안팀의 눈과 귀 같은 존재거든요. 공격자들은 이걸 잘 알고 있어서, 본격적인 공격에 앞서 이런 로깅 기능을 먼저 무력화시킵니다. AWS CloudTrail(클라우드 감사 로그), Azure Activity Log, Office 365 감사 로그 같은 것들 말이에요.

💡 쉬운 비유: 범행 전 블랙박스 메모리 카드를 빼는 것과 같습니다. 나중에 뭘 했는지 아무도 모르게 하려는 거죠.

---

1. 공격자 관점

왜 이 기법을 사용하는가

• 은밀한 활동 보장: 로그가 없으면 보안팀이 공격을 발견하기 어려워집니다
• 포렌식 증거 제거: 나중에 사고 분석을 할 때 추적할 단서가 사라집니다
• 장기간 잠복 가능: 탐지되지 않으니까 몇 달씩 시스템에 머물 수 있어요

동작 흐름

공격자는 먼저 클라우드 환경에 발을 들여놓은 다음, 관리자 권한을 얻어서 로깅 설정을 건드립니다. 그 다음에야 안심하고 데이터를 훔치거나 다른 시스템으로 이동하죠.

💡 쉬운 비유: 도둑이 집에 들어가서 현관문 센서부터 끄는 것과 같아요. 그래야 안심하고 물건을 뒤질 수 있거든요.

---

2. 실제 공격 사례

📌 APT29 - Microsoft 365 타겟 공격 (2022년)

배경: 러시아 정부 배경의 APT29가 여러 조직의 Microsoft 365 환경을 공격했습니다. 이들의 목표는 민감한 이메일과 문서를 장기간에 걸쳐 수집하는 것이었어요.

공격 과정:

1. 스피어피싱으로 초기 계정 탈취 후 권한 상승
2. Purview Audit 기능을 비활성화하여 이메일 접근 활동이 로그에 남지 않도록 조작
3. 몇 달 동안 탐지되지 않으면서 대량의 이메일과 첨부파일을 외부로 유출

피해 규모: 여러 조직에서 수천 개의 이메일과 민감한 문서가 유출되었으며, 몇 달 동안 탐지되지 않았습니다.

출처: You Can't Audit Me: APT29 Continues Targeting Microsoft 365

📌 Pacu 프레임워크 - AWS 환경 공격 도구 (2019년~)

배경: Rhino Security Labs에서 개발한 오픈소스 AWS 공격 도구인 Pacu는 실제 공격자들도 사용하는 기능들을 포함하고 있습니다. 특히 로그 무력화 모듈이 강력해요.

공격 과정:

1. 탈취한 AWS 자격 증명으로 클라우드 환경에 접근
2. AWS CloudTrail 서비스를 중단하고 VPC Flow Logs를 비활성화
3. 로그 파일이 저장된 S3 버킷의 설정을 변경하거나 삭제
4. 이후 EC2 인스턴스 조작, 데이터베이스 접근 등을 탐지되지 않게 수행

피해 규모: 침투 테스트 도구로 개발되었지만, 실제 공격에서도 활용되어 여러 기업의 AWS 환경에서 장기간 잠복하는 데 사용되었습니다.

출처: Pacu - AWS Exploitation Framework

---

3. 왜 탐지가 어려운가?

공식 탐지 방법

DET0289 클라우드 로그 비활성화/수정 탐지 전략 - AN0801: 로깅 서비스가 중단, 삭제, 또는 감사 가시성을 비활성화하는 방식으로 수정되는 클라우드 API 이벤트를 모니터링합니다. 방어자 관점에서는 권한이 있는 사용자 활동과 연관된 무단 StopLogging, DeleteTrail, 또는 UpdateSink 작업을 탐지해야 합니다.

공격자가 이 기법을 선호하는 이유

• 합법적 관리 작업과 구분 어려움: 로그 설정 변경은 정상적인 관리 업무로도 자주 발생해서 의심받지 않아요
• 권한 있는 계정 사용: 이미 관리자 권한을 탈취한 상태라서 정당한 사용자처럼 보입니다
• 즉각적인 은닉 효과: 로그를 끄는 순간부터 모든 활동이 보이지 않게 되거든요

탐지의 현실적 한계

실제 기업 환경에서는 로그 설정을 자주 바꿉니다. 비용 절약을 위해 로그 보관 기간을 줄이거나, 성능 문제로 일시적으로 비활성화하는 경우도 많아요. 그래서 보안팀도 이런 변경을 그냥 정상적인 운영 활동으로 넘어가는 경우가 많습니다. 게다가 공격자가 주말이나 야간에 이런 작업을 하면 더욱 눈에 띄지 않죠.

---

4. 나도 위험할까? 자가 진단

이 공격이 나와 관련 있는지 확인해보세요.

이런 환경이라면 주의가 필요합니다

• AWS, Azure, Google Cloud 같은 클라우드 서비스를 사용하고 있다
• Microsoft 365, Google Workspace 등 클라우드 오피스를 사용한다
• 클라우드 관리자 계정이 다단계 인증 없이 사용되고 있다
• 로그 모니터링을 외부 업체에 맡기거나 자동화되어 있지 않다

공식 대응 방안

M1018 사용자 계정 관리: 로깅을 활성화하도록 기본 계정 정책을 구성합니다. 로깅 정책을 변경할 권한을 가진 사용자를 필요한 경우로만 제한하는 정책을 관리합니다.

당장 할 수 있는 것

• 클라우드 서비스 계정에서 로그인 알림과 중요 설정 변경 알림을 켜두세요
• 회사에서 사용하는 클라우드 서비스의 관리자 계정에 반드시 다단계 인증을 설정하세요
• 🏢 보안 담당자: CloudTrail, Azure Activity Log 등 핵심 로깅 서비스의 설정 변경을 실시간으로 모니터링하고 알림을 받도록 SIEM에 연동하세요

---

5. 관련 기술

기법	어떤 상황에서 함께 사용되나
T1078 Valid Accounts	로그를 비활성화하기 위해서는 먼저 관리자 권한이 있는 정당한 계정을 탈취해야 합니다
T1530 Data from Cloud Storage	로그를 끈 다음 클라우드 스토리지에서 데이터를 몰래 빼내는 데 사용됩니다
T1098 Account Manipulation	로그 비활성화 후 백도어 계정을 만들어서 지속적인 접근을 확보할 때 함께 사용됩니다

---

참고 자료

• MITRE ATT&CK - T1562.008
• APT29의 Microsoft 365 감사 로그 비활성화 공격 - Mandiant/Google Cloud
• Stratus Red Team - CloudTrail Stop 공격 시뮬레이션
• AWS CloudTrail 공식 문서

---

📌 이 글은 AI(Claude) 를 활용하여 작성되었으며, MITRE ATT&CK v18.0 기준 (2025-10-28) 을 기준으로 합니다. 본 콘텐츠는 보안 교육 및 방어 목적으로만 제공되며, 이를 악용한 불법 행위에 대한 책임은 전적으로 행위자 본인에게 있습니다.

---

?뱛 ??湲€?€ [蹂댁븞 臾대젰??T1562) ?쒕━利?(/blog/t1562-impair-defenses)???쇰??낅땲??