<!--SEO_META_START title: 다운그레이드 공격으로 보안 기능 무력화되는 원리 | T1562.010 description: 공격자가 시스템을 구버전으로 되돌려 보안 기능을 무력화하는 다운그레이드 기법. PowerShell 2.0 악용부터 NTLM 강제 전환까지 확인하세요. keywords: T1562.010, Downgrade Attack, MITRE ATT&CK, 다운그레이드 공격, PowerShell 다운그레이드, NTLM tags: MITRE ATT&CK, T1562.010, 다운그레이드 공격 SEO_META_END-->
MITRE ATT&CK: T1562.010 (Downgrade Attack) | 전술: Defense Evasion | 플랫폼: Windows, Linux, macOS, Network
도입: 왜 이 공격이 중요한가
2021년 BlackByte 랜섬웨어가 기업들을 공격했을 때, 해커들은 놀라운 전략을 사용했습니다. 최신 보안 기능을 우회하기 위해 시스템을 일부러 구버전으로 되돌렸거든요. SMBv1이라는 오래된 네트워크 프로토콜을 활성화해서 보안 탐지를 피해갔죠.
이게 바로 다운그레이드 공격(Downgrade Attack) 입니다. 해커들이 시스템의 하위 호환성을 악용해서 보안이 약한 구버전 기능을 강제로 사용하게 만드는 거예요. PowerShell을 구버전으로 실행해서 로깅을 피하거나, HTTPS를 HTTP로 다운그레이드해서 암호화를 무력화시키는 식으로 말이죠.
💡 쉬운 비유: 최신형 금고를 열기 어려우니까, 일부러 옛날 자물쇠로 바꿔서 쉽게 따는 것과 같아요.
1. 공격자 관점
왜 이 기법을 사용하는가
- 보안 기능 우회: 최신 버전의 로깅, 모니터링, 암호화 기능들을 한 번에 무력화
- 탐지 회피: 구버전은 보안 솔루션들이 제대로 모니터링하지 못하는 경우가 많음
- 기존 인프라 활용: 시스템에 이미 설치된 구버전 도구들을 그대로 이용
동작 흐름
💡 쉬운 비유: 최신 CCTV가 있는 건물에서 옛날 흑백 CCTV로 바꿔서 얼굴이 잘 안 보이게 만드는 거죠.
2. 실제 공격 사례
📌 BlackByte 랜섬웨어 - 기업 대상 공격 (2021)
배경: BlackByte는 여러 기업을 타겟으로 한 랜섬웨어로, 네트워크 침투와 데이터 암호화를 목적으로 했습니다.
공격 과정:
- 초기 침입 후 시스템 환경을 조사하여 네트워크 구성을 파악
- SMBv1 프로토콜을 강제로 활성화하여 최신 SMB 보안 기능들을 우회
- 구버전 SMB를 통해 네트워크 내 다른 시스템들로 확산하며 탐지를 회피
피해 규모: 다수의 기업이 피해를 입었으며, 암호화 키가 재사용되어 추가 피해 확산
출처: BlackByte Ransomware – Pt. 1 In-depth Analysis
📌 SILENTTRINITY - 고급 지속 위협 (APT)
배경: SILENTTRINITY는 Python 기반의 정교한 C2 프레임워크로, 기업 네트워크에서 장기간 잠복하며 정보를 수집하는 목적으로 사용됩니다.
공격 과정:
- 표적 시스템에 침투한 후 인증 시스템의 약점을 탐색
- NTLM 인증을 구버전으로 다운그레이드하여 최신 보안 기능들을 무력화
- 다운그레이드된 NTLM에서 해시를 캡처하여 추가 자격 증명을 탈취
피해 규모: 다중 사용자 협업이 가능한 도구로 여러 조직에서 동시 공격 수행
출처: SILENTTRINITY GitHub Repository
📌 FrostyGoop 사건 - 산업 제어 시스템 공격 (2024)
배경: 산업 제어 시스템(ICS)을 타겟으로 한 공격으로, 제조업체의 생산 라인과 인프라를 마비시키려는 목적이었습니다.
공격 과정:
- 산업 제어 시스템 네트워크에 침투하여 핵심 장비들을 식별
- 피해자 장비의 펌웨어를 구버전으로 다운그레이드하여 최신 보안 모니터링 기능들을 제거
- 프로세스 환경에 대한 가시성을 손상시켜 악성 행위를 은밀하게 수행
피해 규모: 연결된 OT(운영 기술) 시스템 전반에 영향을 미쳐 생산 중단 사태 발생
출처: Impact of FrostyGoop ICS Malware on Connected OT Systems
3. 왜 탐지가 어려운가?
공식 탐지 방법
DET0350 다운그레이드 공격 탐지 - AN0995: 다운그레이드된 PowerShell 버전(예: v2) 또는 로깅이나 보안 기능이 부족한 기타 레거시 바이너리를 실행하는 프로세스 탐지. 명령줄 인수, 프로세스 메타데이터 및 버전 필드를 상관 분석. 의도적인 다운그레이드를 나타낼 수 있는 Defender 또는 HVCI 키에 대한 레지스트리 변경을 모니터링.
공격자가 이 기법을 선호하는 이유
- 정상적인 기능 활용: 구버전도 시스템의 정당한 기능이라 의심받지 않음
- 보안 도구의 사각지대: 대부분의 보안 솔루션은 최신 버전 기준으로 탐지 규칙을 만들어둠
- 하위 호환성 악용: 시스템이 제공하는 하위 호환성을 정당한 용도로 포장 가능
탐지의 현실적 한계
공식 탐지 방법이 있어도 실제로는 어려워요. 구버전 사용이 항상 악의적이지 않기 때문에 오탐(False Positive) 이 너무 많이 발생하거든요. 특히 레거시 시스템을 운영하는 기업에서는 정상적으로 구버전을 사용하는 경우가 많아서, 진짜 공격과 구분하기가 쉽지 않습니다.
4. 나도 위험할까? 자가 진단
이 공격이 나와 관련 있는지 확인해보세요.
이런 환경이라면 주의가 필요합니다
- PowerShell 구버전(v2.0)이 여전히 설치되어 있는 Windows 시스템을 사용 중
- 오래된 네트워크 프로토콜(SMBv1, SSLv3 등)을 지원하는 서버나 애플리케이션 운영
- 산업 제어 시스템이나 IoT 장비에서 펌웨어 업데이트를 자주 하지 않음
- HTTPS 연결이 HTTP로 자동 전환되는 웹사이트를 자주 이용
공식 대응 방안
M1042 기능 비활성화 또는 제거: 환경에 불필요한 도구의 이전 버전은 가능한 경우 제거하는 것을 고려하십시오.
M1054 소프트웨어 구성: HTTPS/네트워크 트래픽 암호화 사용을 강제하여 안전하지 않은 연결을 방지하는 HTTP Strict Transport Security와 같은 내부 웹 서버 정책 구현을 고려하십시오.
당장 할 수 있는 것
- Windows 시스템에서 PowerShell v2.0 제거하고 최신 버전만 사용하기
- 웹사이트 접속 시 주소창에 자물쇠 표시(HTTPS)가 있는지 항상 확인하기
- 🏢 보안 담당자: 네트워크에서 SMBv1, SSLv3 등 레거시 프로토콜 비활성화 및 최신 TLS 버전 강제 사용 정책 적용
5. 관련 기술
| 기법 | 어떤 상황에서 함께 사용되나 |
|---|---|
| T1059.001 PowerShell | 구버전 PowerShell로 다운그레이드한 후 스크립트 블록 로깅을 우회하여 악성 스크립트 실행 |
| T1557 Adversary-in-the-Middle | HTTPS를 HTTP로 다운그레이드한 후 중간자 공격으로 네트워크 트래픽 가로채기 |
| T1040 Network Sniffing | 암호화 프로토콜을 약한 버전으로 다운그레이드한 후 네트워크 패킷 스니핑으로 민감 정보 수집 |
참고 자료
📌 이 글은 AI(Claude) 를 활용하여 작성되었으며, MITRE ATT&CK v18.0 기준 (2025-10-28) 을 기준으로 합니다. 본 콘텐츠는 보안 교육 및 방어 목적으로만 제공되며, 이를 악용한 불법 행위에 대한 책임은 전적으로 행위자 본인에게 있습니다.
?뱛 ??湲? [蹂댁븞 臾대젰??T1562) ?쒕━利?(/blog/t1562-impair-defenses)???쇰??낅땲??
COMMENTS (0)
댓글은 익명으로 작성되며, 삭제 비밀번호를 설정하면 본인만 삭제할 수 있습니다. 비밀번호를 설정하지 않은 댓글은 누구나 삭제할 수 있습니다.