cd ../blog
MITRE

네트워크 ACL 우회: 방화벽 정책을 무력화하는 원리 | T1562.013

읽는 시간 약 6분
조회수 6
MITRE ATT&CK방화벽 보안네트워크 방어사이버 공격 기법보안 위협 분석

공격자가 네트워크 ACL과 방화벽 정책을 우회하는 방법. T1562.013 기법으로 분류된 ACL 조작, Fragment 공격, IP Spoofing 기법을 분석합니다.

share:
네트워크 ACL 우회: 방화벽 정책을 무력화하는 원리 | T1562.013

MITRE ATT&CK: T1562.013 (Disable or Modify Network Device Firewall) | 전술: Defense Evasion | 플랫폼: Network

검색 키워드: ACL(접근 제어 목록), Access Control List

도입: 왜 이 공격이 중요한가

2020년, 북한 해킹그룹 APT38이 전 세계 은행들을 털어갈 때 가장 먼저 한 일이 뭘까요? 바로 방화벽 설정을 몰래 바꾸는 것이었습니다. 443, 6443, 8443, 9443 포트에 대한 방화벽 예외 규칙을 만들어서, 마치 정상적인 웹 트래픽처럼 보이게 하면서 자유롭게 데이터를 빼돌렸거든요.

네트워크 방화벽은 회사의 디지털 경계선 같은 존재인데, 해커들이 이걸 무력화하거나 자기 입맛에 맞게 규칙을 바꿔버리면 모든 보안 통제가 무너져버립니다.

💡 쉬운 비유: 아파트 출입통제 시스템을 관리사무소 직원이 몰래 조작해서, 특정 사람들이 자유롭게 드나들 수 있게 만드는 것과 같아요.

1. 공격자 관점

왜 이 기법을 사용하는가

  • 모든 네트워크 통제를 우회: 방화벽만 조작하면 DLP, IDS, 프록시 등 다른 보안 장비들을 하나씩 뚫을 필요가 없음
  • 지속적인 접근 보장: 한 번 규칙을 만들어두면 장기간 탐지 없이 자유롭게 데이터 반출 가능
  • 정상 트래픽으로 위장: 기존 허용 포트를 활용하거나 새 규칙을 만들어서 의심받지 않는 통신 경로 확보

동작 흐름

💡 쉬운 비유: 경비실에 몰래 들어가서 출입 명단을 조작하고, 자기 동료들을 "VIP 방문자"로 등록해두는 것과 같습니다.

2. 실제 공격 사례

📌 APT38 - FASTCash 2.0 작전 (2020년)

배경: 북한 정찰총국 산하 해킹그룹 APT38(일명 BeagleBoyz)이 전 세계 은행들의 ATM 네트워크를 노려 수십억 원 규모의 현금을 탈취한 대규모 사이버 강도 작전이었습니다.

공격 과정:

  1. 은행 네트워크 침투: 스피어피싱과 취약점 공격으로 은행 내부망에 침입
  2. 방화벽 규칙 조작: 443, 6443, 8443, 9443 포트에 대한 예외 규칙을 생성해서 C2 서버와의 통신 경로 확보
  3. ATM 스위치 조작: 확보한 통신 경로를 통해 ATM 스위치 서버에 악성코드를 설치하고, 가짜 거래 승인 메시지를 보내 현금 인출

피해 규모: 전 세계 30여 개국 은행에서 수억 달러 규모의 피해 발생

출처: DHS/CISA. (2020, August 26). FASTCash 2.0: North Korea's BeagleBoyz Robbing Banks.

📌 Grandoreiro - 라틴 아메리카 뱅킹 트로이목마 (2020년)

배경: 브라질, 멕시코, 스페인, 페루를 타겟으로 한 라틴 아메리카 뱅킹 트로이목마가 특정 보안 솔루션을 무력화하기 위해 방화벽 조작 기능을 사용했습니다.

공격 과정:

  1. 스팸 메일 유포: 가짜 Java나 Flash 업데이트, 최근에는 COVID-19 공포심을 이용한 스팸 메일로 악성코드 배포
  2. 시스템 감염: Delphi로 작성된 수백 MB 크기의 거대한 악성코드가 피해자 시스템에 설치
  3. 방화벽 차단: Diebold Warsaw GAS Tecnologia 보안 도구를 방화벽 레벨에서 차단하여 백도어 기능 보호

피해 규모: 라틴 아메리카 전역 은행 고객들의 계정 정보 대량 탈취

출처: ESET. (2020, April 28). Grandoreiro: How engorged can an EXE get?.

3. 왜 탐지가 어려운가?

공식 탐지 방법

DET0306 무단 네트워크 방화벽 규칙 수정 - AN0855: 방어자가 방화벽/네트워크 장비에서 비정상적인 관리 IP나 비콘솔 채널(원격 CLI, API 등)을 통한 규칙 생성, 수정, 삭제 등의 구성 변경을 관찰합니다. 이는 종종 이전에 차단된 아웃바운드 트래픽의 급증, 예상치 못한 전체 허용 규칙, 또는 대량 규칙 삭제와 연관됩니다.

공격자가 이 기법을 선호하는 이유

  • 정당한 관리 작업으로 위장: 방화벽 규칙 변경은 일상적인 네트워크 관리 업무라서 의심받기 어려워요
  • 로그 분석의 복잡성: 방화벽 로그는 양이 방대하고 복잡해서, 악의적인 규칙 변경을 찾아내기가 쉽지 않습니다
  • 시차 공격: 규칙을 만들어두고 한참 뒤에 사용하면, 원인과 결과를 연결하기 어려워집니다

탐지의 현실적 한계

MITRE에서 제시한 탐지 방법도 현실에서는 한계가 많습니다. 방화벽 설정 변경 로그를 실시간으로 모니터링하려면 전용 SIEM 시스템과 숙련된 보안 분석가가 필요한데, 중소기업에서는 이런 환경을 구축하기 어렵거든요. 게다가 정상적인 관리 작업과 악의적인 변경을 구분하려면 평소 관리 패턴을 잘 알고 있어야 하는데, 이것도 쉬운 일이 아닙니다.

4. 나도 위험할까? 자가 진단

이 공격이 나와 관련 있는지 확인해보세요.

이런 환경이라면 주의가 필요합니다

  • 회사 방화벽 관리 콘솔이 인터넷에서 직접 접근 가능한 상태
  • 방화벽 관리자 계정이 여러 사람과 공유되거나 기본 비밀번호를 사용 중
  • 방화벽 설정 변경 이력을 별도로 모니터링하지 않는 환경
  • 원격 근무자들을 위해 VPN 없이 직접 방화벽 포트를 열어둔 경우

공식 대응 방안

M1047 감사: 시스템 방화벽을 수정할 권한이 있는 사용자와 역할이 예상된 것만 있는지 계정 역할 권한을 정기적으로 확인합니다.

M1051 소프트웨어 업데이트: 네트워크 방화벽이 보안 패치로 최신 상태인지 확인합니다.

M1018 사용자 계정 관리: 공격자가 방화벽 설정을 비활성화하거나 수정하는 것을 방지하기 위해 적절한 사용자 권한이 있는지 확인합니다.

당장 할 수 있는 것

  • 회사 네트워크에서 평소보다 느린 인터넷 속도나 이상한 연결 차단 메시지를 발견하면 IT 팀에 즉시 신고하기
  • 개인 PC나 스마트폰에서도 방화벽 설정을 함부로 끄지 않고, 의심스러운 앱이 방화벽 예외를 요청하면 거부하기
  • 🏢 보안 담당자: 방화벽 관리 콘솔 접근을 VPN이나 전용 관리망으로 제한하고, 설정 변경 시 이중 승인 프로세스 도입

5. 관련 기술

기법어떤 상황에서 함께 사용되나
T1078 Valid Accounts방화벽 관리 콘솔에 접근하기 위해 탈취한 관리자 계정을 사용할 때
T1190 Exploit Public-Facing Application인터넷에 노출된 방화벽 관리 인터페이스의 취약점을 통해 직접 침입할 때
T1021 Remote Services방화벽 규칙을 조작한 후 새로 열린 포트를 통해 다른 시스템으로 lateral movement할 때

참고 자료

📌 이 글은 AI(Claude) 를 활용하여 작성되었으며, MITRE ATT&CK v18.0 기준 (2025-10-28) 을 기준으로 합니다. 본 콘텐츠는 보안 교육 및 방어 목적으로만 제공되며, 이를 악용한 불법 행위에 대한 책임은 전적으로 행위자 본인에게 있습니다.

?뱛 ??湲€?€ [蹂댁븞 臾대젰??T1562) ?쒕━利?(/blog/t1562-impair-defenses)???쇰??낅땲??

COMMENTS (0)

댓글은 익명으로 작성되며, 삭제 비밀번호를 설정하면 본인만 삭제할 수 있습니다. 비밀번호를 설정하지 않은 댓글은 누구나 삭제할 수 있습니다.