사이버 공격/방어 시나리오

1장. 공격 대상 시스템 설명

이번 시나리오에서 공격 대상이 되는 시스템은 일반기업에서 사용하는 사무용 PC로, Windows 10 운영체제를 기반으로 구성되어 있다. 해당 시스템은 다음과 같은 환경을 갖추고 있다.

□ 운영체제: Windows 10 Pro (64bit)

□ 소프트웨어 구성:

• Microsoft Office(Excel, Word, Outlook)
• Google Chrome 웹 브라우저
• Adobe Acrobat Reader
• 백신 프로그램(기본 Windows Defender)

□ 연결 환경:

• 유선 기반의 내부 네트워크
• 외부 인터넷 접근 가능 (웹 브라우징, 이메일 송수신)
• 파일 서버 및 프린터 등과 연결됨

해당 시스템은 일반 사무직 직원이 사용하는 것으로, 업무 중 이메일을 자주 주고받고 다양한 문서를 다운로드/업로드한다. 보안 업데이트는 간헐적으로 수행되며, 사용자는 보안 경각심이 낮고, 의심스러운 이메일을 열어보는 경우가 종종 있다. 특히, 매크로 기능을 사용하는 업무가 있어, 사용자는 Excel의 매크로 실행을 활성화하는 데 익숙하다.

이러한 환경은 악성코드가 이메일을 통해 유입되고 실행되는 데 적합한 조건을 갖추고 있으며, 네트워크 기반의 명령 및 제어(C2) 서버 Command & Control 서버와 통신하거나, 내부망 측면 이동(Lateral Movement)을 통해 추가 피해를 확산시키기 쉬운 구조이다.

• 명령 및 제어(C2) 서버 : Command & Control 서버. 공격자가 초기 침투에 성공한 장치와의 통신을 유지하는 데 사용하는 도구 및 기술 집합
• 내부망 측면 이동(Lateral Movement) : 공격자가 거점 서버 점령 후 네트워크를 탐색하여 다른 타겟 서버들을 발견 후 엑세스 권한을 탈취하는 과정

2장 공격 시나리오

2.1 Depth 1: 공격 Technique 나열

공격자는 다음과 같은 공격 단계를 거쳐 시스템에 침투하고 정보를 탈취한다. 각 단계는 MITRE ATT&CK 프레임워크의 기술(Technique) 식별자와 함께 서술된다.

1. Initial Access: Spearphishing Attachment (T1566.001)
2. Execution: User Execution (T1204.002)
3. Persistence: Registry Run Keys / Startup Folder (T1547.001)
4. Command and Control: Web Protocol (T1071.001)
5. Credential Access: Keylogging (T1056.001)
6. Discovery: System Information Discovery (T1082)
7. Collection: Archive via Utility (T1560.001)
8. Exfiltration: Exfiltration Over C2 Channel (T1041)
9. Lateral Movement: Remote Desktop Protocol (T1021.001)

2.2 Depth 2: 공격 절차 및 예시

1. Spearphishing Attachment (T1566.001)

• 공격자는 인사팀을 사칭한 이메일을 발송하며, 제목은 “연봉 인상 계획안”과 같이 사용자의 관심을 끌 만한 내용으로 구성된다.
• 첨부파일은 salary_increase_plan.xlsm으로 명명된 악성 매크로가 포함된 Excel 파일이다.

.xlsm 확장자는 매크로를 포함한 문서이고, .xlsx의 확장자를 가진 파일은 매크로를 포함하지 않은 일반 문서

1. User Execution (T1204.002)

• 사용자가 해당 파일을 열고 매크로 실행을 허용하면서 악성 스크립트가 실행된다.
• 이 과정에서 시스템에 악성 실행파일(Dropper.exe)이 설치된다.

• Dropper : 대상 시스템에 악성코드를 설치하기 위해 설계된 프로그램

1. Persistence (T1547.001)

• Dropper는 Windows 레지스트리의 HKCU\Software\Microsoft\Windows\CurrentVersion\Run 키에 자신을 등록해 재부팅 시 자동 실행되도록 설정한다.

1. Command and Control (T1071.001)

• 설치된 악성코드는 외부의 공격자 C2 서버(hxxp://malicious.example.com)와 주기적으로 HTTP 프로토콜을 통해 통신을 시작한다.

• HTTP(Hypertext Transfer Protocol) : 하이퍼텍스트를 빠르게 교환하기 위한 프로토콜의 일종으로, 서버와 클라이언트의 사이에서 어떻게 메시지를 교환할지를 정해 놓은 규칙

1. Keylogging (T1056.001)

• 공격자는 사용자 키 입력을 감시해 ID/PW 등 민감한 정보를 수집한다.
• 로그인 시 입력한 사내 ERP 시스템 계정 정보 등을 확보한다.

• ERP : Enterprise Resource Planning(전사적 자원관리)의 약자로 기업의 모든 업무를 통합 관리할 수 있는 시스템을 의미

1. System Information Discovery (T1082)

• systeminfo 명령어를 통해 운영체제 정보, 컴퓨터 이름, 설치된 패치 내역 등을 수집한다.

1. Archive via Utility (T1560.001)

• 수집된 데이터와 계정 정보 등을 ZIP 파일로 압축하고 암호를 설정한다.

1. Exfiltration Over C2 Channel (T1041)

• 암호화된 ZIP 파일은 HTTP POST 방식으로 C2 서버에 업로드되어 외부로 유출됩니다.

• POST방식 : URL에 데이터가 노출되는 GET방식과 달리 데이터를 HTTP 요청 본문(body)에 포함되어 전송하는 방식

1. Remote Desktop Protocol (T1021.001)

• 탈취한 계정 정보를 사용해 내부 네트워크 내의 다른 PC에 원격 데스크톱으로 접근을 시도하며, 측면 확산을 시도한다.

3장. 방어 시나리오

각 공격 기술에 대응하기 위해 MITRE D3FEND 프레임워크 기반의 방어 기법을 적용할 수 있다.
주요 대응 전략은 아래와 같다.

1. Spearphishing Attachment 방어

• Email Filtering: 이메일 게이트웨이(SEG)에 스팸 필터 및 악성 첨부파일 필터 적용
  • Secure Email Gateway(SEG). 공용 인터넷에서 기업 이메일 서버로 향하는 이메일 경로에 인라인으로 위치하는 이메일 보안 솔루션
• Content Filtering: Excel 파일 내의 매크로 포함 여부 검사 및 차단
• Homoglyph Detection: 공격자가 사용하는 유사 도메인(ne1flix.com 등)을 탐지하여 차단

1. User Execution 방어

• Application Hardening: Office 매크로 기본 비활성화 및 실행 시 경고 표시
• Security Awareness Training: 피싱 이메일 판별 교육 및 의심스러운 첨부파일 열람 자제

1. Persistence 방어

• Startup Items Monitoring: 레지스트리 및 시작프로그램 항목 변경 실시간 감시
• Host-based Intrusion Detection System(HIDS) 도입

• Host-based Intrusion Detection System(HIDS) : 호스트 시스템의 활동을 모니터링하고 잠재적인 공격을 탐지하는 보안 시스템

1. C2 통신 방어

• Network Traffic Filtering: 비정상 IP와의 통신 차단, DNS 모니터링
• Proxy & Firewall Rules: 외부 도메인 접속 제한 및 도메인 평판 기반 차단 적용

정책 평판 기반 차단은 악성 소프트웨어 또는 잠재적으로 해로운 앱 및 파일로부터 사용자를 보호하기 위해, 해당 앱, 파일, 웹사이트의 평판 (예: 악성코드 감염 여부, 유해 웹사이트에 연결된 웹사이트 등)을 기반으로 차단하는 보안 기능

1. Credential Access 방어

• Keystroke Anomaly Detection: 비정상적인 입력 패턴 탐지
• Multi-Factor Authentication(MFA) 적용으로 단순 키로거 대응

• Multi-Factor Authentication(MFA) : 다단계인증

1. System Discovery 방어

• System Access Auditing: 시스템 정보 조회 로그 남기기 및 이상 행위 탐지

1. Data Collection 방어

• File Integrity Monitoring (FIM): ZIP 파일 생성/이동 감시

1. Exfiltration 방어

• Data Loss Prevention (DLP) 솔루션 도입
• SSL 트래픽 복호화 및 데이터 필터링 정책 설정
  • SSL : Secure Sockets Layer. 웹사이트와 브라우저 간 통신을 암호화하여 데이터를 안전하게 전송하기 위한 프로토콜

1. Lateral Movement 방어

• RDP 접근 제한 및 2FA 적용
• • RDP : Remote Desktop Protocol. 다른 컴퓨터의 데스크톱을 원격으로 제어하고 사용하는 데 사용
  • 2단계 인증, Two-Factor Authentication. 사용자 계정 보안을 강화하기 위해 사용하는 보안 방법. 2FA는 일반적인 비밀번호 인증 외에 추가적인 인증 단계를 요구하여 무단 접근을 방지
• 내부망 접속 권한 최소화 (최소 권한 원칙 적용)
• RDP 포트 변경 및 비활성화