현대의 트로이 목마: 공격자의 생활 방식과 이를 막는 방법

오디세우스는 무력으로 트로이를 침공하지 않았습니다.

그는 트로이 목마 안에 숨어 트로이 목마가 선물이라고 생각한 내부로 잠입했습니다. 그날 밤, 그의 군대가 나타나 도시 내부를 점령했습니다. ‍

신뢰할 수 있는 것을 사용하고, 경고 없이 전략과 인내심, 적의 사각지대에 대한 지식만 있으면 되는 완벽한 속임수였습니다.

오늘날의 가장 지능적인 사이버 공격은 동일한 플레이북을 따릅니다. 공격자는 이미 시스템 내부에 있는 기본 도구를 악용합니다. 조용히 움직이며 숨어 있습니다. 오디세우스처럼, 그들은 탐지되지 않고 돌파하기 위해 신뢰할 수 있는 것을 이용합니다.

신뢰할 수 있는 도구, 숨겨진 위협

사이버 보안에서 LOTL( Living-off-the-Land ) 사이버 공격은 PowerShell 또는 WMI와 같은 합법적인 기본 제공 시스템 도구를 사용하여 탐지를 회피합니다.

이러한 도구는 정상적인 네트워크 트래픽과 함께 악성 페이로드를 다운로드하고, 측면으로 이동하며, 데이터를 유출합니다. 멀웨어가 설치되지 않고 의심스러운 파일이 드롭되지 않기 때문에 이러한 공격은 수개월 동안 눈에 띄지 않는 경우가 많습니다.

LOTL 공격은 현재 최신 사이버 침입의 대부분을 차지합니다. 2025년 70만 건 이상의 인시던트를 분석한 결과, 주요 공격 중 84%(% )가 LOTL 기법과 관련된 것으로 나타났습니다.

왜 그렇게 효과적인가요? 운영 체제에는 관리자를 위한 강력한 도구가 미리 탑재되어 있지만, 공격자들은 이를 무기로 사용하고 있습니다. 일단 내부에 들어가면 동일한 도구를 사용하여 사람들과 섞이고, 접근 권한을 유지하며, 조용히 영향력을 확장합니다.

2025년 70만 건 이상의 인시던트를 분석한 결과, 주요 공격 중 84%(% )가 LOTL 기법과 관련된 것으로 나타났습니다.↪f_200D↩

따라서 리빙 오프 더 랜드 공격은 탐지하기가 더 어렵고 막기도 훨씬 더 어렵습니다.↪f_200D↩

대부분의 LOTL 공격은 Windows에서 발생하지만, 신뢰할 수 있는 도구를 사용하고 메모리에서 코드를 실행하는 방법은 macOS와 Linux에도 적용될 수 있습니다.  

macOS에서 공격자는 AppleScript 및 launchd 명령과 같은 네이티브 서비스를 악용하여 명령을 지속하고 실행할 수 있습니다. Linux에서는 파일을 디스크에 쓰지 않고 기존의 탐지를 피하기 위해 Bash, SSH, 크론 작업 및 인메모리 실행을 사용할 수 있습니다.

최근 SharePoint ToolShell의 익스플로잇은 "땅에서 살기 위한 것"이었나요?

2025년 7월, Microsoft는 ToolShell로 통칭되는 두 가지 SharePoint제로데이 취약점(CVE202553770 및 CVE202553771)의 활성 익스플로잇을 공개했습니다.

리넨 타이푼, 바이올렛 타이푼, 스톰2603 등의 취약점은 인터넷에 연결된 온프레미스 서버에 영향을 미쳤으며 국가 지원 공격자들이 이를 악용했습니다.

이 위협 그룹은 취약점을 이용해 원격 코드를 실행하고, 머신 키를 탈취하고, 권한을 상승시키고, 워록 및 락빗 변종을 포함한 랜섬웨어를 수백 개의 취약한 시스템에 배포했습니다.

일루미오의 시스템 엔지니어링 디렉터인 마이클 아제이는 툴쉘 익스플로잇의 특징에 대한 자신의 관점을 공유합니다: "단순히 네이티브 툴을 사용했다는 것뿐만 아니라 공격자들이 기존의 경보를 트리거하지 않고 초기 접근에서 측면 이동으로 이동했다는 점입니다. 이 사건은 방어자가 멀웨어만 감시하고 있다면 이미 뒤처지고 있다는 중요한 현실을 강조합니다."

↪f_200D↩랜섬웨어+ 생활비: 강력한 조합

이러한 은밀한 접근 방식의 또 다른 강력한 예는 메두사 랜섬웨어입니다.

2024년 2월, FBI와 CISA는 중요 인프라에 대한 위협이 증가하고 있음을 경고하는 공동 권고문(#StopRansomware: 메두사 랜섬웨어)을 발표했습니다. 병원, 금융 기관, 학교, 정부 서비스 등 300개 이상의 조직이 이미 피해를 입었습니다.  

메두사는 화려한 제로데이나 명백한 멀웨어에 의존하지 않습니다. 대신 PowerShell, WMI, RDP, SSH와 같은 신뢰할 수 있는 도구와 ScreenConnect 같은 원격 액세스 소프트웨어를 사용하여 하이브리드 환경 전반에서 이동하고 탐지를 피합니다.

최신 랜섬웨어는 정문을 통해 침입하는 것이 아니라 스파이처럼 은밀하게 침투합니다.

↪f_200D↩국가안보국(NSA)이 LOTL에 경보를 울린이유

2024년에 NSA, CISA 및 국제 파트너는 LOTL 침입의 급증에 대한 공동 권고 경고를 발표했습니다.

이는 한 번의 침해가 아니라 국가가 후원하는 그룹을 포함한 지능형 위협 공격자들이 점점 더 많은 기본 도구를 사용하여 중요 인프라에 은밀하게 침투하는 불안한 추세에서 비롯된 것입니다.

티핑 포인트? 공격자들이 전통적인 멀웨어를 배포하지 않고 미국의 통신, 에너지, 교통 시스템에 침투한 볼트 타이푼과 같은 캠페인.

LOTL 기법은 국가 단위 공격자들이 주로 사용하는 전략이 되었으며, 방어자들은 즉시 이에 적응해야 한다는 조언이었습니다.

↪cf_200D↩솔라윈즈: LOTL의 마스터 클래스

가장 초기에 가장 큰 피해를 입힌 LOTL 공격 사례 중 하나는 2020년에 발생한 것으로, 위협 행위자가 SolarWinds의 정기 Orion 업데이트에 멀웨어를 은밀하게 삽입한 것입니다.

고객이 이 프로그램을 설치하면 공격자는 미국 정부 기관( ), 포춘 500대 기업등 세계에서 가장 민감한 네트워크에 액세스할 수 있게 됩니다.

공격자들은 기본 Windows 도구를 사용하고 정상적인 오리온 활동을 모방함으로써 수개월 동안 탐지를 피했습니다. 이 멀웨어는 가치가 높은 표적에서만 활성화되었습니다. 일단 내부로 들어온 후에는 광범위한 데이터 유출이 이루어졌고, 그들은 흔적을 감추었습니다.  

백악관 은 나중에 이 공격이 러시아 정보기관의 소행이라고 밝혔습니다.

↪f_200D↩LOTL을멈추려면다른 사람들이 놓치는 것을 확인해야 합니다.

이러한 공격은 멀웨어에 의존하지 않으며 네트워크 내부에 이미 존재하는 합법적인 도구를 악용합니다. 보안팀은 시스템이 정상적으로 통신하는 방식에 대한 가시성이 있어야 비정상적인 행동을 감지하고 실시간으로 위협을 격리할 수 있습니다.  

주요 방어 기능은 다음과 같습니다:

• 측면 이동 탐지: 시스템 간 통신에 대한 가시성은 환경 내에서 이동하는 공격자를 발견하는 데 필수적입니다.
• 행동위협 탐지: 기본 도구의 비정상적인 사용을 식별하는 분석은 정상적인 작업에 섞여 있는 활동을 파악하는 데 도움이 됩니다. ‍
• 경고 우선순위 지정: 공격자가 신뢰할 수 있는 프로세스를 사용하는 경우 일상적인 행동을 필터링하고 의심스러운 패턴을 강조하는 것이 중요합니다. ‍
• 신속한 격리: 멀웨어 서명을 기다릴 필요 없이 손상된 자산을 신속하게 격리하는 기능을 통해 LOTL 기법이 확산되기 전에 차단할 수 있습니다.

공격자가 존재하는 세상에서 방어자는 자신의 환경이 어떻게 사용되고 있는지 확인하고 제어할 수 있는 힘이 필요합니다.

일루미오 인사이트가 LOTL 위협이 확산되기 전에 차단하는 방법을 알아보세요. 시작하기 무료 평가판 오늘.