<!--SEO_META_START title: 안전 모드 부팅으로 EDR 우회: 보안 솔루션을 무력화하는 방법 | T1562.009 description: 공격자가 Windows 안전 모드로 재부팅해 EDR과 백신을 비활성화하는 원리. REvil 랜섬웨어 실제 사례와 안전 모드 악용 탐지법을 확인하세요. keywords: T1562.009, Safe Mode Boot, MITRE ATT&CK, EDR 우회, 안전 모드 공격, REvil tags: MITRE ATT&CK, T1562.009, EDR 우회 SEO_META_END-->
MITRE ATT&CK: T1562.009 (Safe Mode(안전 모드) Boot) | 전술: Defense Evasion | 플랫폼: Windows
도입: 왜 이 공격이 중요한가
2022년 Black Basta 랜섬웨어가 전 세계 기업들을 공격했을 때, 보안팀들은 이상한 현상을 발견했습니다. EDR(Endpoint Detection and Response) 솔루션이 멀쩡히 설치되어 있는데도 랜섬웨어가 아무런 방해 없이 실행된 거죠. 원인을 조사해보니 공격자들이 시스템을 세이프 모드로 재부팅한 후 공격을 진행했더군요.
Windows 세이프 모드는 원래 시스템 문제를 해결하기 위한 기능인데, 공격자들이 이걸 악용해서 보안 솔루션들을 무력화하는 거예요. 세이프 모드에서는 최소한의 드라이버와 서비스만 실행되거든요.
💡 쉬운 비유: 병원 응급실에서 환자 치료에 꼭 필요한 의료진만 남기고 나머지는 모두 퇴근시키는 것과 비슷해요. 공격자는 보안팀(EDR)이 퇴근한 틈을 노리는 거죠.
1. 공격자 관점
왜 이 기법을 사용하는가
- 완벽한 은신: EDR, 백신 등 대부분의 보안 솔루션이 세이프 모드에서 실행되지 않음
- 합법적인 기능 악용: Windows 기본 기능이라 탐지가 어려움
- 관리자 권한 활용: 이미 권한을 탈취했다면 쉽게 부팅 설정 변경 가능
동작 흐름
공격자는 먼저 관리자 권한을 확보한 후, bcdedit /set safeboot network 같은 명령어로 다음 부팅을 세이프 모드로 설정해요. 그리고 시스템을 재부팅하면 EDR이나 백신 없는 환경에서 마음껏 악성 활동을 할 수 있죠.
2. 실제 공격 사례
📌 Black Basta - 기업 대상 랜섬웨어 공격 (2022)
배경: Black Basta는 2022년 등장한 신종 랜섬웨어 그룹으로, 미국, 캐나다, 영국, 호주의 주요 기업들을 타겟으로 삼았어요. 특히 높은 몸값을 받을 수 있는 대기업들을 노렸죠.
공격 과정:
- 다크웹에서 구매한 기업 네트워크 접근 자격증명으로 초기 침투
bcdedit /set safeboot network명령어로 피해 시스템을 세이프 모드 부팅으로 설정- 시스템 재부팅 후 EDR과 백신이 비활성화된 상태에서 랜섬웨어 실행
피해 규모: 수십 개 기업이 피해를 입었고, FBI가 별도 경보를 발령할 정도로 심각한 상황이었어요.
출처: Examining the Black Basta Ransomware's Infection Routine
📌 AvosLocker - 중요 인프라 공격 (2021-2022)
배경: AvosLocker는 RaaS(Ransomware-as-a-Service) 모델로 운영되는 랜섬웨어로, 미국의 중요 인프라를 집중 공격했어요. 전력, 의료, 금융 등 사회 기반시설을 노렸죠.
공격 과정:
- AnyDesk 원격 관리 도구를 이용해 피해 시스템에 접근
- 관리자 권한 확보 후 세이프 모드로 재부팅 설정
- 보안 솔루션이 비활성화된 상태에서 데이터 암호화 및 탈취
피해 규모: 미국, 캐나다, 영국, 스페인 등 여러 국가의 중요 인프라가 피해를 입어 FBI가 공식 경보를 발령했어요.
출처: Ransomware Spotlight AvosLocker
📌 Embargo - 새로운 Rust 기반 랜섬웨어 (2024)
배경: Embargo는 2024년에 등장한 새로운 랜섬웨어로, Rust 언어로 개발되어 기존 탐지 시그니처를 우회하는 특징을 가지고 있어요.
공격 과정:
- MDeployer DLL 변형을 사용해 시스템에 침투
- 세이프 모드를 통해 보안 솔루션들을 무력화
- 탐지 회피를 위해 Rust로 작성된 페이로드 실행
피해 규모: 아직 초기 단계지만 새로운 기술적 접근으로 보안업계의 주목을 받고 있어요.
3. 왜 탐지가 어려운가?
공식 탐지 방법
DET0116 Detection Strategy for Safe Mode Boot Abuse - AN0323: BCD 수정을 통한 세이프 모드 악용, 부팅 구성 유틸리티(bcdedit.exe, bootcfg.exe) 사용, SafeBoot 레지스트리 키 하위의 지속성 확보를 탐지. 방어자 관점에서는 의심스러운 부팅 구성 변경과 공격자의 지속성 확보나 방어 시스템 비활성화를 위한 레지스트리 편집을 연관 분석해야 함.
공격자가 이 기법을 선호하는 이유
- 정상 기능 악용: bcdedit는 Windows 기본 도구라서 실행 자체가 의심스럽지 않아요
- 완벽한 회피: 세이프 모드에서는 대부분의 보안 솔루션이 아예 실행되지 않죠
- 시간차 공격: 부팅 설정 변경과 실제 공격 사이에 시간 간격이 있어 연관성 파악이 어려워요
탐지의 현실적 한계
bcdedit 명령어는 시스템 관리자들이 정상적인 업무에서도 자주 사용하거든요. 그래서 이 명령어 실행만으로는 악성 행위인지 판단하기 어려워요. 게다가 실제 공격은 재부팅 후에 일어나니까, 부팅 설정 변경과 악성 활동을 연결해서 분석하는 게 쉽지 않죠.
4. 나도 위험할까? 자가 진단
이 공격이 나와 관련 있는지 확인해보세요.
이런 환경이라면 주의가 필요합니다
- 회사에서 관리자 계정을 여러 사람이 공유해서 사용하고 있다
- EDR이나 백신이 설치되어 있지만 세이프 모드에서도 작동하는지 확인해본 적이 없다
- 원격 관리 도구(TeamViewer, AnyDesk 등)를 업무용으로 사용하고 있다
- 시스템 재부팅 후 보안 솔루션이 정상 작동하는지 자동 확인하는 절차가 없다
공식 대응 방안
M1026 Privileged Account Management (권한 계정 관리): 세이프 모드로 원격 부팅할 수 있는 관리자 계정을 최소 권한 원칙에 따라 최대한 적은 수의 개인으로 제한해야 함.
M1054 Software Configuration (소프트웨어 구성): 엔드포인트 방어 솔루션이 세이프 모드에서도 실행되도록 구성해야 함.
당장 할 수 있는 것
- 회사 PC에서 예상치 못한 재부팅이 발생했다면 IT팀에 즉시 신고하기
- 개인 PC라도 관리자 계정과 일반 계정을 분리해서 사용하기
- 🏢 보안 담당자: EDR 솔루션이 세이프 모드에서도 작동하도록 설정하고, bcdedit 명령어 실행을 모니터링하는 정책 수립
5. 관련 기술
| 기법 | 어떤 상황에서 함께 사용되나 |
|---|---|
| T1112 Modify Registry | 세이프 모드에서 실행될 악성 서비스를 레지스트리에 등록하여 재부팅 후에도 지속성을 확보할 때 |
| T1486 Data Encrypted for Impact | 보안 솔루션을 무력화한 후 랜섬웨어로 데이터를 암호화할 때 |
참고 자료
📌 이 글은 AI(Claude) 를 활용하여 작성되었으며, MITRE ATT&CK v18.0 기준 (2025-10-28) 을 기준으로 합니다. 본 콘텐츠는 보안 교육 및 방어 목적으로만 제공되며, 이를 악용한 불법 행위에 대한 책임은 전적으로 행위자 본인에게 있습니다.
?뱛 ??湲? [蹂댁븞 臾대젰??T1562) ?쒕━利?(/blog/t1562-impair-defenses)???쇰??낅땲??
COMMENTS (0)
댓글은 익명으로 작성되며, 삭제 비밀번호를 설정하면 본인만 삭제할 수 있습니다. 비밀번호를 설정하지 않은 댓글은 누구나 삭제할 수 있습니다.