84%의 해킹, 윈도우 기본 도구로 이뤄졌다…기업 보안 경고등

비트디펜더 랩스(Bitdefender Labs)가 발표한 최신 보고서에 따르면, 최근 발생한 주요 보안 사고의 84%가 시스템에 기본으로 탑재된 도구를 악용한 것이라는 분석 결과가 나왔다. ‘생활형 공격(Living off the Land, LOTL)’으로 불리는 이 기법은 전문적인 해킹 툴이 아닌 정상적인 운영체제 도구를 이용해 보안을 우회하는 방식이다.

이 보고서는 70만 건 이상의 보안 사고를 분석한 결과를 바탕으로 작성됐으며, 기업 내에 존재하는 신뢰 가능한 바이너리와 관리 도구들이 공격자들에 의해 광범위하게 남용되는 경향을 보인다고 지적한다. 특히 비트디펜더의 매니지드 탐지 및 대응 서비스(MDR)는 심각한 보안 사고 중 85%가 이러한 LOTL 전술을 포함하고 있었다고 밝혔다.

공격에 가장 많이 사용된 도구로는 윈도우 네트워크 설정 도구 ‘netsh.exe’가 꼽혔다. 전체 공격의 약 3분의 1에서 이 도구가 사용됐고, 그 외에도 PowerShell.exe, reg.exe, cscript.exe, rundll32.exe 등 일반적으로 시스템 관리자나 개발자가 활용하는 필수 유틸리티들이 반복적으로 활용되고 있었다.

흥미로운 점은 상대적으로 생소한 개발자 전용 툴들도 점차 공격에 활용되고 있다는 점이다. sc.exe, msbuild.exe, ngen.exe와 같은 도구는 대부분 시스템 관리자나 개발자들이 사용하는 것이어서 보안 모니터링 대상에서 비껴가며 탐지를 어렵게 만든다.

비트디펜더는 이러한 합법적인 유틸리티의 이중적 특성이 보안 측면에서 큰 도전이 되고 있다고 설명한다. 정상적인 운영에 필수적인 도구들이 동시에 공격 수단으로 전용되기 때문에, 대응 과정에서 시스템 안정성과 보안 간 충돌이 발생할 위험도 커진다는 것이다.

지역별 분석도 이번 보고서의 주요 포인트다. PowerShell.exe는 유럽, 중동 및 아프리카 지역의 97.3% 기업에서 사용됐지만, 아시아태평양 지역에서는 53.3%에 그쳤다. 반면, reg.exe의 사용률은 아시아태평양 지역에서 상대적으로 높아 보안 설정 시 지역적 특성을 고려해야 한다는 점이 확인됐다.

문제를 더욱 복잡하게 만드는 것은 동일한 유틸리티가 합법적인 목적과 악성 목적 모두에 사용될 수 있다는 점이다. PowerShell이나 wmic.exe 등은 실제로 많은 서드파티 애플리케이션에서도 실행되기 때문에, 단지 실행 여부만으로는 악성 행위를 정확히 판단하기 어렵다.

비트디펜더 측은 “공격자들이 일상적으로 신뢰받는 시스템 유틸리티를 절묘하게 조작하며 기존 방어체계를 손쉽게 회피하고 있다”며, “이러한 흐름에 대응하기 위해서는 기존 차단 시스템을 넘어 악성 의도를 식별하고 무력화할 수 있는 보안 모델이 필요하다”고 강조했다. 예시로 자사의 위협 대응 솔루션 ‘PHASR’를 언급하며, 이러한 상황에서 LOTL에 대응 가능한 차세대 보안 접근법의 필요성을 강하게 시사했다.