cd ../blog
MITRE

가짜 보안 알림 스푸핑: BlackBasta가 보안팀을 속이는 방법 | T1562.011

읽는 시간 약 6분
조회수 3
MITRE ATT&CKDefense Evasion랜섬웨어보안 위협악성코드

가짜 보안 알림 스푸핑으로 500개 기업을 공격한 BlackBasta 랜섬웨어. Windows Defender 무력화 후 정상 상태 거짓 표시. 탐지 방법과 대응책을 알아보세요.

share:
가짜 보안 알림 스푸핑: BlackBasta가 보안팀을 속이는 방법 | T1562.011

MITRE ATT&CK: T1562.011 (Spoof Security Alerting) | 전술: Defense Evasion | 플랫폼: Windows, macOS, Linux

도입: 왜 이 공격이 중요한가

당신의 PC 화면 우측 하단에 "Windows 보안 - 모든 항목이 정상입니다"라는 녹색 아이콘이 떠 있다면, 정말 안전한 걸까요? BlackBasta 랜섬웨어 그룹은 실제로 Windows Defender를 완전히 비활성화한 후에도 가짜 보안 GUI와 트레이 아이콘을 띄워서 "시스템이 안전합니다"라고 거짓말을 했거든요.

이게 바로 보안 알림 스푸핑(Spoof Security Alerting) 이라는 기법입니다. 해커들이 보안 도구들을 무력화시킨 후에도 마치 모든 게 정상인 것처럼 꾸며서 관리자들의 대응을 지연시키는 교묘한 방법이에요.

💡 쉬운 비유: 도둑이 집에 침입한 후 경비 시스템을 꺼버리고, 대신 가짜 "경비 시스템 정상 작동 중" 불빛을 켜놓는 것과 같아요.

1. 공격자 관점

왜 이 기법을 사용하는가

  • 시간 벌기: 보안팀이 침입 사실을 늦게 발견하도록 해서 더 많은 데이터를 훔치거나 시스템을 장악할 시간을 확보
  • 완벽한 위장: 단순히 보안 도구를 끄는 것보다 "정상 작동" 메시지를 보여주는 게 훨씬 자연스러워 보임
  • 관리자 심리 조작: 녹색 체크마크와 "안전" 메시지는 사람들을 안심시켜서 추가 점검을 하지 않게 만듦

동작 흐름

실제로는 Windows Defender나 EDR 솔루션이 완전히 꺼진 상태인데, 화면에는 여전히 "보안 상태 양호"라는 메시지가 떠 있는 거죠. 관리자가 대시보드만 대충 확인하면 아무 문제없어 보이니까 계속 다른 일을 하게 되고, 그 사이에 해커는 네트워크 전체로 퍼져나가는 거예요.

2. 실제 공격 사례

📌 BlackBasta 랜섬웨어 - 기업 네트워크 침투 (2022-2024)

배경: BlackBasta는 주로 기업을 타겟으로 하는 랜섬웨어 그룹으로, 2024년 5월 기준 전 세계 500개 이상의 조직을 공격한 것으로 확인되었습니다. 특히 금융 기관과 중요 인프라를 표적으로 삼으며, FIN7 위협 그룹과 연결되어 있습니다.

공격 과정:

  1. 초기 침입: 스피어 피싱이나 RDP 브루트포스를 통해 기업 네트워크에 침투
  2. 보안 도구 무력화: Windows Defender와 기타 보안 서비스들을 강제로 중지시킴 (Set-MpPreference -DisableRealtimeMonitoring 1)
  1. 가짜 보안 인터페이스 생성: WindefCheck.exe라는 Visual Basic 프로그램으로 실제 Windows 보안 GUI와 똑같이 생긴 가짜 창을 띄우고, 시스템 트레이에도 정상 상태를 나타내는 녹색 아이콘을 표시
  2. 은밀한 확산: 관리자들이 보안 상태를 정상으로 인식하는 동안 네트워크 내 다른 시스템들로 lateral movement 진행

피해 규모: 수십 개 기업이 피해를 입었으며, 각각 수백만 달러의 몸값을 요구받음

3. 왜 탐지가 어려운가?

공식 탐지 방법

DET0311 OS 플랫폼 전반의 보안 알림 스푸핑 탐지 - AN0868: 보고된 센서 상태와 실제 프로세스/서비스 상태 간의 불일치를 탐지합니다. 예를 들어, Windows Defender 트레이 아이콘/UI는 정상 상태를 보여주지만 해당 Defender 서비스들(WinDefend, MsMpEng)이 중지되거나 비활성화된 상황을 찾아내는 거죠. 프로세스 생성 이벤트와 누락되거나 종료된 보안 프로세스, 그리고 가짜 상태 이벤트를 연관 분석합니다.

공격자가 이 기법을 선호하는 이유

  • 시각적 속임수의 위력: 사람들은 화면에 보이는 것을 믿는 경향이 강해요. 특히 익숙한 Windows 보안 아이콘이 녹색으로 떠 있으면 "아, 안전하구나"하고 넘어가기 쉽거든요.
  • 루틴한 점검의 허점: 대부분의 관리자들은 매일 수십 개의 시스템을 확인해야 하니까 GUI만 대충 보고 넘어가는 경우가 많아요. 깊이 있게 서비스 상태까지 일일이 확인하지 않죠.
  • 탐지 도구의 맹점: 기존 보안 솔루션들은 악성 프로세스나 네트워크 통신은 잘 잡아내지만, 가짜 GUI 창이 떠 있는 것까지는 의심하지 않아요.

탐지의 현실적 한계

공식 탐지 방법이 있다고 해도 실제로 구현하기는 꽤 까다로워요. 프로세스 상태와 GUI 상태를 실시간으로 교차 검증하려면 별도의 모니터링 스크립트를 개발해야 하고, 이런 걸 24시간 돌리면 시스템 리소스도 많이 먹거든요. 게다가 정상적인 보안 도구 재시작 상황과 구분하기도 어렵고, 오탐이 너무 많이 발생하면 관리자들이 알림 자체를 무시하게 되죠.

4. 나도 위험할까? 자가 진단

이 공격이 나와 관련 있는지 확인해보세요.

이런 환경이라면 주의가 필요합니다

  • Windows 기본 보안 도구에만 의존: Windows Defender만 사용하고 별도의 EDR이나 SIEM 솔루션이 없는 환경
  • 관리자 권한 계정 공유: 여러 명이 같은 관리자 계정을 사용하거나, 일반 사용자도 관리자 권한을 가진 경우
  • 보안 상태 점검이 형식적: 매일 보안 대시보드를 확인하지만 실제 서비스 상태까지는 점검하지 않는 경우
  • 원격 접속 환경: RDP나 VPN을 통한 원격 근무가 많아서 보안 도구 상태를 직접 확인하기 어려운 환경

공식 대응 방안

M1038 실행 방지: 보안 알림을 스푸핑하는 데 사용될 수 있는 페이로드의 설치와 사용을 완화하기 위해 애플리케이션 제어를 사용하세요.

당장 할 수 있는 것

  • 보안 상태 이중 확인하기: Windows 보안 센터에서 녹색 체크마크를 봤다면, 작업 관리자에서 실제로 관련 서비스들(Windows Security Service, Antimalware Service Executable)이 실행 중인지 확인해보세요
  • 의심스러운 점 발견 시 전문가 문의: 평소보다 컴퓨터가 느리거나 이상한 프로그램 창이 뜨는데 보안 프로그램은 정상이라고 나온다면 IT 담당자에게 문의하기
  • 🏢 보안 담당자: PowerShell 스크립트를 작성해서 주요 보안 서비스 상태와 GUI 표시 상태를 주기적으로 교차 검증하고, 불일치가 발견되면 즉시 알림을 받도록 설정하세요

5. 관련 기술

기법어떤 상황에서 함께 사용되나
T1562.001 Disable or Modify Tools보안 도구를 실제로 비활성화한 후, 이 기법으로 가짜 정상 상태를 보여줄 때
T1036 Masquerading가짜 보안 GUI를 만들 때 정상적인 보안 프로그램처럼 위장하기 위해 함께 사용

참고 자료

📌 이 글은 AI(Claude) 를 활용하여 작성되었으며, MITRE ATT&CK v18.0 기준 (2025-10-28) 을 기준으로 합니다. 본 콘텐츠는 보안 교육 및 방어 목적으로만 제공되며, 이를 악용한 불법 행위에 대한 책임은 전적으로 행위자 본인에게 있습니다.

?뱛 ??湲€?€ [蹂댁븞 臾대젰??T1562) ?쒕━利?(/blog/t1562-impair-defenses)???쇰??낅땲??

COMMENTS (0)

댓글은 익명으로 작성되며, 삭제 비밀번호를 설정하면 본인만 삭제할 수 있습니다. 비밀번호를 설정하지 않은 댓글은 누구나 삭제할 수 있습니다.