🔍 정보보안기사 | 침해사고분석대응 핵심 정리 (4-2편)

랜섬웨어 · 웜/바이러스/트로이목마 비교 · 드롭퍼 · 멀버타이징 · DBD · 루트킷 · APT · 워터링홀 · 스피어피싱 · 크립토재킹 · Cyber Kill Chain · MITRE ATT&CK · YARA · 공급망 공격 · 허니팟 · 제로데이 · DDE · TEMPEST까지
침해사고분석대응 두 번째 편을 완벽 정리합니다.

#정보보안기사 #침해사고분석대응 #APT공격 #악성코드유형 #CyberKillChain #MITREATTCK #제로데이 #워터링홀

📋 목차

1. 악성코드 유형 심화 — 랜섬웨어 · 드롭퍼 · 혹스 · 멀버타이징 · DBD
2. 웜 · 바이러스 · 트로이목마 3종 비교표
3. 루트킷 · strace · lsof · chattr 심화
4. APT 공격 — 워터링홀 · 스피어피싱 · 크립토재킹
5. Cyber Kill Chain · MITRE ATT&CK 프레임워크
6. 정적 분석 vs 동적 분석 · YARA · 공급망 공격
7. 풋프린팅 · 허니팟 · 제로데이 · HotFix vs Update
8. DDE · TrustZone · TEMPEST · 보안관제 대응 절차
9. 4-2편 최종 요약

1. 악성코드 유형 심화 — 랜섬웨어 · 드롭퍼 · 혹스 · 멀버타이징 · DBD

🔧 현직자 실무 포인트

멀버타이징과 DBD는 현재 가장 광범위하게 사용되는 악성코드 배포 방식입니다. 사용자가 아무 행동을 안 해도 감염되는 DBD는 브라우저·OS를 최신 상태로 유지하고 광고 차단 도구를 사용하는 것이 핵심 방어책입니다. 랜섬웨어 감염 시 파일 확장자 변경·부팅 불가가 즉각적인 증상이므로 EDR과 오프라인 백업이 필수입니다.

파일 암호화 + 금전 요구

💰 랜섬웨어 (Ransomware)

감염 시 파일 암호화 → 복호화 조건으로 비트코인 요구. 감염 시 파일 확장자 변경·부팅 불가 발생. Ransom = 몸값.

내부 포함 vs 외부 다운로드

📦 드롭퍼 vs 다운로더

드롭퍼 = 자신 내부에 악성코드 포함 → 실행 시 생성
다운로더 = 외부 서버에서 악성코드 다운로드 후 실행
둘 다 백신 우회 목적

가짜 바이러스 경고 사기

📧 혹스 (Hoax)

실제 악성코드가 아닌 가짜 바이러스 경고·개인정보 탈취 빌미로 금전 요구하는 협박성 사기 이메일. 실제 피해는 없으나 수신자를 협박.

광고를 통한 악성코드 유포

📢 멀버타이징 (Malvertising)

Malware + Advertising 합성어. 온라인 광고를 통해 악성코드 유포. 보안 취약한 광고 서버 해킹 → 불특정 다수 공격.

방문만 해도 감염

🌐 DBD (Drive By Download)

웹사이트 단순 방문·배너 클릭만으로 OS·브라우저 취약점을 이용해 악성코드 자동 다운로드. 난독화된 스크립트로 다수 경유지 거침.

코드 분석 방해

🔀 난독화 (Obfuscation)

프로그램 내부 동작은 유지하면서 코드 가독성을 낮춰 역공학·보안 장비 탐지를 방해. 악성 스크립트 은닉에 악용.

🎯 시험 출제 포인트

랜섬웨어 = 파일 암호화 후 비트코인 요구 / 증상: 확장자 변경·부팅 불가
드롭퍼 = 내부에서 생성 / 다운로더 = 외부에서 다운로드
Hoax = 가짜 바이러스 경고 사기 이메일 (실제 악성코드 아님)
멀버타이징 = Malware + Advertising = 온라인 광고 통한 악성코드 유포
DBD = Drive By Download = 방문만 해도 자동 감염 / 난독화 스크립트 활용

2. 웜 · 바이러스 · 트로이목마 3종 비교

악성코드	독립 실행	자기복제	핵심 특징
🪱 웜 (Worm)	✅ 가능	✅ 가능	숙주 파일 없이 네트워크로 스스로 전파
🦠 바이러스 (Virus)	❌ 불가	✅ 가능	숙주 파일 필요. 파일 실행 시 함께 활성화
🐴 트로이목마 (Trojan Horse)	❌ 불가	❌ 불가	정상 프로그램으로 위장. 사용자가 직접 실행해야 작동. 대표: 백오리피스·넷버스·스쿨버스

🎯 시험 출제 포인트

웜 = 독립실행 ✅ 자기복제 ✅ / 숙주 파일 불필요 → 네트워크 자가 전파
바이러스 = 독립실행 ❌ 자기복제 ✅ / 숙주 파일 필요
트로이목마 = 독립실행 ❌ 자기복제 ❌ / 사용자가 직접 실행해야 작동
트로이목마 대표: 백오리피스(Back Orifice) · 넷버스(NetBus) · 스쿨버스

3. 루트킷 · strace · lsof · chattr 심화

🔧 현직자 실무 포인트

루트킷 감염 의심 시 ps 명령 결과와 /proc 디렉터리를 직접 비교하거나 lsof로 숨겨진 프로세스의 소켓을 확인합니다. 공격자가 백도어 파일에 chattr +i를 설정해두면 root 권한으로도 삭제가 불가합니다. chattr -i로 해제 후 삭제해야 합니다.

Q 루트킷(Rootkit)이란?

→ 해커가 자신의 존재를 숨기고 루트 권한을 유지하며 백도어 기능을 수행하는 코드·프로그램 집합 ps 같은 시스템 파일을 변조하여 악성 프로세스를 은닉. 탐지: ps 출력 결과 vs /proc 디렉터리 프로세스 직접 비교.

Q strace 명령어의 역할과 활용은?

→ 특정 프로그램의 시스템 콜과 시그널을 추적하는 디버깅 도구 정상 프로그램과 트로이목마로 변조된 프로그램을 비교·식별하는 데 활용. 유닉스/리눅스 전용.

Q lsof 명령어의 역할과 활용은?

→ List Open Files — 모든 프로세스가 열고 있는 파일과 소켓 목록 확인 루트킷으로 ps가 변조된 경우에도 lsof로 공격자 프로세스의 소켓을 확인 가능. 은닉 프로세스 탐지에 핵심.

Q chattr +i (Immutable 속성)이란?

→ 리눅스 파일에 불변 속성 부여 → root 관리자도 변경·삭제 불가 공격자가 백도어 파일에 설정하여 삭제를 방해하는 방식으로 악용. 해제: chattr -i / 속성 확인: lsattr

명령어	기능	침해사고 활용
strace	프로세스의 시스템 콜·시그널 추적	트로이목마 변조 여부 식별
lsof	열린 파일 + 소켓 전체 목록	ps 변조 시 은닉 프로세스 탐지
chattr +i	Immutable 속성 부여 (삭제 불가)	백도어 파일 삭제 방해 수단으로 악용
chattr -i	Immutable 속성 해제	공격자 파일 삭제 전 필수 선행 작업
lsattr	파일 속성 확인	Immutable 설정 여부 확인

🎯 시험 출제 포인트

루트킷 = 시스템 은닉 + 루트 권한 유지 / ps 시스템 파일 변조로 프로세스 은닉
루트킷 탐지: ps 출력 vs /proc 디렉터리 비교
strace = 시스템 콜 추적 → 트로이목마 식별
lsof = 열린 파일·소켓 목록 → ps 변조 시에도 은닉 프로세스 탐지 가능
chattr +i = root도 삭제 불가 / 해제: chattr -i / 확인: lsattr

4. APT 공격 — 워터링홀 · 스피어피싱 · 크립토재킹

🔧 현직자 실무 포인트

APT(Advanced Persistent Threat)는 단발성 공격이 아닌 장기적·지속적 공격입니다. 실무에서는 이메일 보안 게이트웨이로 스피어피싱을, 웹 프록시와 URL 필터링으로 워터링홀 경유지를 차단합니다. 크립토재킹은 CPU 사용률 급등이 대표 증상이므로 모니터링이 핵심입니다.

Q APT(Advanced Persistent Threat)란?

→ 특정 대상을 정하여 다양한 기법으로 장기적·지속적·치밀하게 공격하는 지능형 지속 위협 사회공학 기법 + 제로데이 취약점 등 복합 수법 사용. 국가 지원 해커 그룹에서 주로 활용.

Q 워터링 홀(Watering Hole) 공격이란?

→ 공격 대상이 자주 방문하는 웹사이트를 사전에 파악 → 해당 사이트에 악성코드를 심어두고 방문 시 감염시키는 APT 기법 사자가 물웅덩이(watering hole) 근처에서 먹잇감을 기다리는 것에서 유래.

Q 스피어 피싱(Spear Phishing)이란?

→ 불특정 다수가 아닌 특정인·조직을 표적으로 신뢰할 만한 발신인으로 위장한 이메일 → 악성 사이트 유도 또는 악성 첨부파일 감염 작살(Spear)로 특정 물고기만 겨냥하는 작살 낚시에서 유래. 일반 피싱보다 훨씬 정교하고 성공률 높음.

Q 크립토재킹(Cryptojacking)이란?

→ Cryptocurrency + Hijacking. 피해자 PC에 악성코드 설치 → 암호화폐 채굴 → 수익을 공격자가 갈취 증상: CPU 사용률 급등. 피해자는 전기료·장비 수명 단축 피해 발생.

🎯 시험 출제 포인트

APT = 특정 대상·장기적·지속적 공격 / 사회공학+제로데이 복합 사용
워터링홀 = 표적이 자주 가는 사이트에 악성코드 심기 → 방문 시 감염
스피어 피싱 = 특정 표적 맞춤형 피싱 / 일반 피싱보다 정교
크립토재킹 = Cryptocurrency + Hijacking = 내 PC로 암호화폐 채굴 갈취

5. Cyber Kill Chain · MITRE ATT&CK 프레임워크

Q 사이버 킬 체인(Cyber Kill Chain)이란?

→ 미국 록히드 마틴사가 특허 등록한 APT 공격 방어 방법론. 공격 단계 중 하나를 사전에 차단하면 실제 공격까지 이어지지 않는다는 원리. 공격 7단계: 정찰→무기화→전달→악용→설치→C&C→목적 달성. 단계별 방어 포인트를 정의.

Q MITRE ATT&CK 프레임워크란?

→ MITRE 사가 제공하는 사이버 공격 전술·기법 정보 기반 프레임워크. 실제 공격 사례를 관찰하여 공격자의 전술·기법을 체계적으로 분류한 목록. 사이버 킬 체인의 7단계를 확장한 모델. 위협 인텔리전스, 탐지 룰 개발, 레드팀 시뮬레이션에 활용.

구분	특징
Cyber Kill Chain	록히드 마틴사 특허. APT 공격 7단계 분석. 단계 차단으로 공격 무력화. 방어 중심 관점.
MITRE ATT&CK	MITRE사 개발. 킬 체인을 확장한 공격 전술·기법 분류 프레임워크. 실제 공격 사례 기반. 공격자 행위 중심 관점.

🎯 시험 출제 포인트

Cyber Kill Chain = 록히드 마틴사 특허 / APT 단계 분석 방어 전략
MITRE ATT&CK = 공격 전술·기법 체계적 분류 / 킬 체인 7단계 확장
두 프레임워크 모두 APT 대응을 위한 방법론

6. 정적 분석 vs 동적 분석 · YARA · 공급망 공격

분석 방법	방식	특징
정적 분석 (Static Analysis)	프로그램 실행 없이 소스코드·바이너리 분석	안전하게 분석 가능. 패커·난독화로 우회 가능. SAST 도구 활용.
동적 분석 (Dynamic Analysis)	샌드박스 환경에서 직접 실행하여 행위 분석	실제 동작 관찰 가능. 샌드박스 탐지 회피 악성코드 존재. DAST 도구 활용.

Q YARA란?

→ VirusTotal에서 제작한 오픈소스 악성코드 분류 도구. 악성코드 샘플의 텍스트·바이너리 패턴 정보로 악성코드를 식별·분류. 정규표현식 등으로 다양한 룰 생성 가능. 침해사고 대응 시 악성코드 변종 탐지에 활용.

Q 공급망 공격(Supply Chain Attack)이란?

→ 소프트웨어 개발사 네트워크에 침투 → 소스코드 변조 또는 배포 서버에서 악성 파일로 교체 → 사용자가 업데이트·설치 시 자동 감염 최종 표적이 아닌 공급망(협력사·개발사)을 먼저 공격. 대규모 피해 가능. 대표 사례: SolarWinds 해킹.

🎯 시험 출제 포인트

정적 분석 = 실행 없이 코드 분석 / 동적 분석 = 샌드박스에서 직접 실행
YARA = VirusTotal 제작 / 패턴 기반 악성코드 분류 오픈소스 도구
공급망 공격 = 개발·배포 과정에서 악성코드 삽입 → 업데이트 시 자동 감염

7. 풋프린팅 · 허니팟 · 제로데이 · HotFix vs Update

공격 전 정보 수집

👣 풋프린팅 (Footprinting)

직접 해킹 이전 사전 정보 수집 활동. 도메인명·IP·취약점·사용자 목록·인증 메커니즘 파악. 공격의 첫 단계.

공격자 유인 분석 시스템

🍯 허니팟 (Honeypot)

취약한 위장 시스템으로 공격자 유인 → 공격 경로·수법·패턴 모니터링·분석. 제로데이 공격 탐지에도 활용. 다수 허니팟 = 허니넷(Honeynet)

패치 발표 전 취약점 악용

0️⃣ 제로데이 공격 (Zero-Day)

취약점에 대한 패치·대응책 발표 전에 해당 취약점을 이용한 공격. 대처가 매우 어려움. APT 공격의 핵심 무기.

긴급 보안 패치 vs 일반 개선

🔧 HotFix vs Update

HotFix = 주요 보안 취약점 즉시 패치 위한 긴급 배포 프로그램
Update = 문제 예방·해결 또는 성능 향상을 위해 추가되는 소프트웨어

🎯 시험 출제 포인트

풋프린팅 = 공격 전 사전 정보 수집 (도메인·IP·취약점·사용자 목록 등)
허니팟 = 공격자 유인 위장 시스템 / 여러 개 = 허니넷(Honeynet)
제로데이 = 패치 발표 전 취약점 악용 → 대처 매우 어려움
HotFix = 긴급 보안 패치 / Update = 성능·문제 개선

8. DDE · TrustZone · TEMPEST · 보안관제 대응 절차

Q DDE(Dynamic Data Exchange)란?

→ Windows 응용 프로그램 간 데이터 전송 기능. 공격자가 악용 시 Word·Excel 문서를 통해 악성 시스템 명령 실행 가능. VBA 매크로 없이도 악성 기능 수행 가능. 매크로 보안 정책 우회 수단으로 활용됨.

Q TrustZone이란?

→ ARM사 개발 하드웨어 기반 보안 기술. CPU를 일반 구역(Normal World)과 보안 구역(Secure World)으로 분할. 모니터 모드(Monitor Mode)로 두 구역 관리.

Q TEMPEST란?

→ 전자기기에서 누설되는 전자파를 도청하는 기술과 그에 대한 방어 대책을 수립하는 기술 분야 실드룸(차폐 공간) 구성이 대표적 대응책. 국가기관·군사 시설에서 주로 적용.

보안관제 대응 절차

🔄 보안관제 대응 절차 순서 (5단계)

① IDS/IPS 실시간 트래픽 파악 → ② 이상 징후 보고·탐지 결정 → ③ 초동 조치 시행 → ④ 공격 유형·피해 범위 분석 → ⑤ 차단 적용

🎯 시험 출제 포인트

DDE = Dynamic Data Exchange = Word·Excel 문서로 악성 명령 실행 / 매크로 없이도 가능
TrustZone = ARM사 / CPU를 일반 구역(Normal) + 보안 구역(Secure)으로 분할 / 모니터 모드로 관리
TEMPEST = 전자파 누설 도청 기술 및 방어 대책 분야
보안관제 대응 순서: 트래픽 파악 → 탐지 결정 → 초동 조치 → 피해 분석 → 차단
보안관제 모니터링 3종: 보안장비 · 서버(Health Check) · 트래픽