방어 무력화: APT 그룹이 EDR을 끄는 13가지 기술 원리 | T1562
MITRE T1562 Impair Defenses 기법의 동작 원리를 분석합니다. 공격자가 EDR, 방화벽, 로깅 시스템을 무력화하는 13가지 세부 기법과 실제 APT 사례, 효과적인 방어 전략을 제시합니다.
MITRE T1562 Impair Defenses 기법의 동작 원리를 분석합니다. 공격자가 EDR, 방화벽, 로깅 시스템을 무력화하는 13가지 세부 기법과 실제 APT 사례, 효과적인 방어 전략을 제시합니다.
T1562 "Impair Defenses"는 2025년 기준 악성 소프트웨어 캠페인에서 가장 널리 사용된 방어 회피 기술이다. MITRE ATT&CK 프레임워크에 따르면, 공격자가 피해 환경의 방어 메커니즘을 악의적으로 수정하여 방어 능력을 저하시키거나 비활성화하는 기술로 정의된다.
현대의 보안 환경에는 EDR(Endpoint Detection and Response), SIEM(Security Information and Event Management), 방화벽 등 다층 방어 시스템이 구축되어 있다. 공격자는 본격적인 활동에 앞서 이러한 방어막을 무력화하려 하며, T1562는 그 시도를 체계화한 기법군이다.
T1562는 공격자가 시스템의 보안 통제를 무력화하여 탐지를 회피하고 지속적인 접근을 유지하는 기술이다.
Adversaries may maliciously modify components of a victim environment in order to hinder or disable defensive mechanisms. This not only involves impairing preventative defenses, such as firewalls and anti-virus, but also detection capabilities that defenders can use to audit activity and identify malicious behavior. — MITRE ATT&CK T1562
위 정의에 따르면, T1562는 단순히 방화벽이나 백신을 끄는 것을 넘어 방어자가 악의적 행동을 감시하고 식별하는 탐지 능력까지 포함하는 포괄적인 개념이다.
| 방어 유형 | 설명 |
|---|---|
| 예방 방어 | 역할: 공격 차단 / 대표 기술: 방화벽, 백신, WAF / 무력화 방향: 서비스 중단, 규칙 삭제 |
| 탐지 방어 | 역할: 이상 행위 감지 / 대표 기술: EDR, SIEM, IDS / 무력화 방향: 로그 비활성화, 에이전트 종료 |
| 감사 방어 | 역할: 활동 기록 / 대표 기술: Event Log, auditd / 무력화 방향: 히스토리 삭제, 로그 변조 |
| 네트워크 방어 | 역할: 트래픽 통제 / 대표 기술: 네트워크 방화벽, IPS / 무력화 방향: 규칙 수정, 우회 경로 생성 |
T1562는 다음과 같은 세분화된 기법들로 구성된다:
공격자가 방어를 무력화하는 과정은 대체로 열거 → 권한 확보 → 비활성화 → 흔적 제거 → 네트워크 우회의 순서를 따른다. 각 단계는 시스템에 고유한 흔적을 남기며, 그 흔적이 곧 탐지 기점이 된다.
공격자는 먼저 대상에 배포된 보안 솔루션의 종류와 상태를 파악한다. 실행 중인 보안 프로세스 목록, 보안 서비스 상태, 백신 엔진의 상태를 조회하는 행위가 여기에 해당한다.
탐지 관점: 보안 제품 이름을 대상으로 한 프로세스·서비스 열거는 정상 사용자에게 드물다. 짧은 시간에 다수의 보안 제품명을 질의하는 패턴 자체가 이상 신호로 포착될 수 있다.
대부분의 보안 도구는 자가 보호(Self-Protection) 메커니즘을 갖고 있어 일반 사용자가 임의로 종료할 수 없다. 공격자는 SYSTEM 권한을 확보하거나 커널 수준 접근을 얻어 이 보호를 우회하려 한다. 정상적인 시스템 도구를 본래 용도와 다르게 사용하는 LOLBin(Living off the Land) 방식이 대표적이다.
탐지 관점: 보안 에이전트 프로세스에 대한 핸들 획득·종료 시도, 비정상적인 부모-자식 프로세스 관계, 자가 보호 우회 시 남는 오류 이벤트가 흔적으로 남는다.
권한이 확보되면 공격자는 백신 실시간 보호를 끄거나, 보안 서비스를 중단·삭제하거나, EDR 에이전트를 무력화하려 시도한다.
탐지 관점: 실시간 보호 설정 변경, 보안 서비스의 중단·삭제, 에이전트 디렉터리의 파일 삭제는 모두 이벤트 로그와 EDR 텔레메트리에 기록된다. Tamper Protection이 활성화돼 있으면 이러한 변경 시도가 차단되며 그 자체가 알림으로 남는다.
흔적을 줄이기 위해 공격자는 Windows 이벤트 로깅, PowerShell 스크립트 블록 로깅, 명령 히스토리, Linux의 감사 시스템 같은 기능을 비활성화하거나 기록을 삭제하려 한다.
탐지 관점: 역설적으로 로그를 끄는 행위 자체가 강한 신호다. 이벤트 로그 서비스 중단(Event ID 1100/1102), 감사 정책 변경, 히스토리 파일 삭제는 중앙 수집 SIEM에서 "로그가 갑자기 끊긴 호스트"로 드러난다.
C2 통신과 데이터 유출을 위해 공격자는 호스트 방화벽 규칙을 비우거나 특정 포트·목적지를 허용하는 규칙을 추가한다.
탐지 관점: 방화벽 규칙의 대량 삭제, 비표준 포트에 대한 인바운드/아웃바운드 허용 규칙 추가는 구성 변경 감사 로그에 남으며, 새로운 외부 목적지로의 연결은 네트워크 텔레메트리에서 포착된다.
Windows Event Tracing for Windows(ETW)는 고급 탐지의 핵심 데이터 소스다. 공격자는 ETW 프로바이더 등록을 해제하거나 관련 함수를 메모리에서 변조해 텔레메트리를 차단하려 한다.
탐지 관점: ETW가 갑자기 침묵하는 것 자체가 이상 징후다. 프로세스 메모리 무결성 모니터링, 커널 콜백 기반 EDR은 ETW 관련 함수의 인메모리 변조를 탐지할 수 있다.
Lazarus 그룹: Lazarus 그룹은 금융 기관 침해 시 백신 실시간 보호 비활성화 → C2 통신용 방화벽 규칙 추가 → 이벤트 로그 말소 → PowerShell 실행 정책 우회의 순서로 방어를 무력화한 것으로 공개 분석에서 보고됐다. 각 단계가 순차적으로 남긴 구성 변경·로그 삭제 흔적이 사후 분석의 단서가 됐다.
APT29: APT29는 ntdll의 ETW 기록 함수를 인메모리로 변조해 거의 모든 텔레메트리를 차단하는 고급 기법을 사용한 것으로 알려져 있다. 디스크에 파일을 남기지 않는 인메모리 변조라 정적 탐지를 회피하지만, 함수 프롤로그의 무결성 검증으로 포착이 가능하다.
gdrv 드라이버 취약점(CVE-2018-19320), Dell의 dbutil_2_3 드라이버 취약점(CVE-2021-21551)이 BYOVD에 악용된 바 있다. 비표준 드라이버의 신규 로드와 알려진 취약 드라이버의 서명-해시 매칭이 탐지 신호다.T1562 계열 공격은 "방어가 꺼지는 순간"에 흔적을 남긴다. 공격자가 남길 수밖에 없는 신호를 모니터링하면 포착된다.
T1562 "Impair Defenses"는 현대 사이버 공격의 핵심 단계로, 공격자가 탐지를 회피하고 지속적 접근을 유지하기 위해 체계적으로 방어 시스템을 무력화하는 기법군이다. 핵심은 방어를 끄는 모든 행위가 역으로 강한 탐지 신호를 남긴다는 점이다.
이 기술은 EDR 우회 공격 12가지 방법: 보안 무력화 기법 | T1562.001, 방화벽 무력화 공격의 실체: APT28·APT38 사례로 본 침투 전술 | T1562.004 등의 세부 기법들과 밀접하게 연관되어 있다.
AI 활용 안내 이 글은 AI(Claude)의 도움을 받아 작성되었습니다. 인용된 통계와 사례는 참고 자료에 명시된 출처에 근거하며, 설명을 위한 일부 표현은 각색되었습니다.
면책 조항 본 글은 보안 인식 제고를 위한 교육 목적으로 작성되었습니다. 언급된 공격 기법을 실제로 시도하는 행위는 「정보통신망법」, 「형법」 등에 따라 처벌받을 수 있으며, 본 블로그는 이에 대한 법적 책임을 지지 않습니다.