Living Off the Land (LOTL) 공격이란 무엇인가?
공격자가 오랜 기간 동안 네트워크 내부에 잠복합니다. 맞춤형 악성코드는 없습니다. 의심스러운 실행 파일도 없습니다. 모든 행위는 운영체제에 기본적으로 포함된 도구만을 사용합니다. 이는 CISA 권고에 따르면, Volt Typhoon이라는 중국 정부 지원 위협 행위자가 미국의 통신, 에너지, 교통, 수도 등 주요 인프라에 접근 권한을 유지하면서, 기본 시스템 도구와 유효한 자격 증명을 사용한 것으로 문서화된 현실입니다.
Living off the land, 즉 LOTL은 대상 시스템에 이미 존재하는 기본 도구와 프로세스를 악용하는 공격자 행위 유형입니다. 공격자는 신뢰받는 사전 설치 바이너리(LOLBins)를 사용하여 정상 시스템 활동에 위장하고, 은밀하게 동작하며, 보안 통제를 우회합니다. 2025년 3월에 발표된 CISA 지침은 이 접근법을 위협 행위자가 "맞춤형 도구 개발 및 배포에 투자하지 않고도" 탐지 및 차단 가능성을 낮추는 방법으로 정의합니다.
LOTL은 Windows, Linux, macOS, 클라우드, 하이브리드 환경 전반에서 작동합니다. macOS에서는 이와 유사한 개념을 "Living Off the Orchard" 또는 LOOBins라고 부릅니다. 이 기법은 초기 실행부터 지속성, 수평 이동, 자격 증명 접근, 데이터 유출까지 전체 공격 수명주기에 걸쳐 사용됩니다. 방어자에게는, 알려진 악성 파일의 시그니처보다 신뢰받는 도구에 대한 행위 기반 가시성과 강력한 통제가 더 중요합니다.
보안 도구가 시그니처 매칭 및 격리할 수 있는 악성코드를 작성하는 대신, 공격자는 IT팀이 매일 사용하는 PowerShell, WMI, certutil 등 도구를 사용합니다. 안티바이러스는 이들을 신뢰합니다. 허용 목록도 승인합니다. SIEM도 예상합니다. CISA의 레드팀조차 "실제 네트워크 방어자가 이들의 활동을 거의 발견하지 못한 채, 공개적으로 알려진 LOTL 기법을 자주 사용한다"고 2025년 지침에서 밝히고 있습니다. 이러한 방식이 효과적인 이유를 이해하려면, 공격자가 의존하는 구체적인 기법과 도구부터 살펴봐야 합니다.
Living Off the Land 공격의 기법과 도구
LOTL 공격은 공통된 구성 요소를 공유합니다. 이 구성 요소를 이해하면 일상적인 관리와 실제 침해를 구분할 수 있습니다.
- Living Off the Land Binaries (LOLBins): 공격자가 재활용하는 기본 OS 서명 실행 파일입니다. LOLBAS Project는 CISA가 직접 참조한 Windows LOLBins를, GTFOBins는 Unix/Linux, LOOBins는 macOS를 다룹니다.
- 유효한 자격 증명: LOTL은 탈취 또는 손상된 계정 없이는 거의 작동하지 않습니다. Volt Typhoon은 피해 네트워크 내 RDP 수평 이동을 위해 손상된 도메인 관리자 자격 증명을 사용했습니다.
- 파일리스 실행: 페이로드가 디스크에 실행 파일을 기록하지 않고 메모리 또는 기존 소프트웨어를 통해 실행됩니다. 이는 안티바이러스 시그니처를 우회하는 데 도움이 됩니다. SANS에 문서화된 기법은 PowerShell의 Get-Clipboard와 Invoke-Expression을 결합해 IOC를 회피합니다.
- 시스템 바이너리 프록시 실행: MITRE T1218에 분류된 이 기법은 신뢰받는 서명 바이너리를 사용해 악성 페이로드를 실행합니다. 바이너리는 합법적(종종 Microsoft 서명)이나, 실행되는 페이로드는 악성입니다.
- 명령 및 스크립트 인터프리터: PowerShell (T1059.001), Windows Command Shell (T1059.003), Unix 셸 (T1059.004)은 엔터프라이즈에서 의존하는 도구를 통해 공격자에게 전체 스크립팅 기능을 제공합니다.
이러한 기법은 캠페인마다 반복적으로 등장하는 소수의 바이너리를 중심으로 전개됩니다.
주요 LOLBin과 악용 사례
아래 표는 가장 자주 악용되는 LOLBin을 본래 목적과 공격자 악용 방식에 따라 정리한 것입니다.
| 바이너리 | 정상 목적 | 공격자 악용 | MITRE ID |
| PowerShell | 시스템 관리, 자동화 | 메모리 내 코드 실행, 자격 증명 수집 | |
| WMI / WMIC | 원격 시스템 관리, 인벤토리 | 원격 프로세스 실행, 지속성 확보 | |
| certutil.exe | 인증서 관리 | 파일 다운로드, Base64 인코딩/디코딩 | |
| rundll32.exe | DLL 함수 로딩 | 악성 DLL 프록시 실행 | |
| mshta.exe | HTML 애플리케이션 실행 | 원격 URL에서 악성 HTA 페이로드 실행 | |
| netsh.exe | 네트워크 구성 | 포트 포워딩, 방화벽 규칙 변경 |
이러한 구성 요소는 알려진 악성 시그니처나 바이너리 평판에 의존하는 도구로는 탐지하기 어려운 공격 체인을 만듭니다. 다음 단계는 공격자가 이를 어떻게 조합하는지 이해하는 것입니다.
Living Off the Land 공격의 작동 방식
일반적인 LOTL 공격 체인은 각 단계마다 시스템에 존재하는 기본 도구를 사용하여 전개됩니다.
1단계: 초기 접근
공격자는 피싱 이메일, 취약점 악용, 또는 탈취된 자격 증명을 통해 진입합니다. Volt Typhoon은 외부 노출 네트워크 장비를 악용했습니다. APT28의 "Nearest Neighbor" 캠페인은 대상 근처 Wi-Fi를 이용해 초기 접근을 달성했습니다.
2단계: 실행
맞춤형 바이너리를 드롭하는 대신, 공격자는 기본 인터프리터를 호출합니다. PowerShell은 메모리 내에서 코드를 실행합니다. WMI는 원격으로 프로세스를 생성합니다. Black Basta 랜섬웨어 작전은 WMI를 Cobalt Strike와 결합해 피해 네트워크 전반에 페이로드를 배포하며, 기본 시스템 도구를 연쇄적으로 사용해 수평 실행을 수행했습니다.
3단계: 탐지 및 자격 증명 접근
ntdsutil과 같은 도구로 Active Directory 데이터베이스를 추출합니다. CISA는 Volt Typhoon이 ntdsutil "ac i ntds" ifm "create full C:\Windows\Temp\pro" 명령을 실행해 자격 증명 덤프를 수행한 것을 문서화했습니다. PowerShell은 이벤트 로그를 조회합니다. net localgroup administrators는 권한 경계를 매핑합니다.
4단계: 수평 이동
RDP 세션은 유효한 관리자 자격 증명을 사용합니다. SMB는 호스트 간 파일을 전송합니다. netsh는 포트 프록시 규칙을 생성해 트래픽을 리디렉션합니다. 각 단계는 IT팀이 합법적으로 사용할 수 있는 도구를 활용합니다.
5단계: 지속성 및 영향
예약 작업, WMI 구독, 레지스트리 변경을 통해 접근 권한을 유지합니다. 랜섬웨어 작전에서는 암호화기가 체인 내 유일한 비기본 도구일 수 있으며, 공격자가 LOLBin을 사용해 모든 대상을 매핑, 접근, 준비한 후에만 배포됩니다.
전체 과정은 실행부터 방어 회피, 지속성, 자격 증명 접근, 명령 및 제어, 수평 이동까지 여러 ATT&CK 전술에 걸쳐 매핑됩니다. LOTL을 단계별로 나누면 보안 통제가 이를 자주 놓치는 이유가 명확해집니다. 공격자의 진정한 이점은 환경이 이러한 도구를 신뢰하도록 설계되어 있다는 점입니다.
Living Off the Land 공격이 성공하는 이유
LOTL 공격은 보안 스택과 운영 워크플로우에 내재된 아키텍처적 가정을 악용하기 때문에 성공합니다.
- 설계상 신뢰됨. LOLBin은 운영체제 공급업체가 발급한 유효한 파일 해시와 디지털 서명을 보유합니다. CISA는 이러한 "신뢰 속성이 네트워크 방어자를 오도할 수 있다"고 명시합니다.
- 시그니처에 탐지되지 않음. Cybersecurity 학술지의 동료 검토 연구는 공격자가 명령줄 코드에 특수 문자를 삽입해 Windows 인터프리터가 런타임에 이를 제거함으로써, 실행되는 명령이 규칙이 평가하는 것과 다르게 만드는 우회 기법을 문서화합니다.
- 기본 로깅에 숨겨짐. CISA는 LOTL 기법이 의도적으로 "로그 내 활동을 제한"한다고 확인합니다. 기본 Windows 로깅만 사용하면 명령줄 인수, PowerShell 스크립트 블록 내용, 프로세스 계보를 확보할 수 없습니다.
- 경보 피로로 인한 증폭. 광범위한 LOLBin 규칙은 높은 오탐률을 유발합니다. 러시아 GRU 관련 CISA 권고는 "더 많은 휴리스틱이 필요하다"고 경고하며, LOTL 바이너리 탐지를 위한 효과적인 헌팅에는 오탐에 압도되지 않도록 해야 한다고 명시합니다. 분석가가 경보를 신뢰하지 않게 되면, LOTL 운영자는 더 많은 활동 공간을 얻게 됩니다.
- 장기 잠복으로 인한 연장. Volt Typhoon은 장기간 잠복했습니다. 식별되지 않은 하루하루가 추가 정찰, 자격 증명 수집, 사전 배치의 기회가 됩니다.
이러한 조건은 성숙한 환경에서도 LOTL 탐지를 어렵게 만듭니다. 실제 캠페인은 이러한 이점이 어떻게 실현되는지 보여줍니다.
실제 LOTL 캠페인: 국가 지원 및 랜섬웨어 운영자
실제 공격자가 LOLBin을 어떻게 연쇄적으로 사용하는지 이해하면 위협이 구체적으로 드러납니다.
- Volt Typhoon (PRC) 는 미국의 통신, 에너지, 교통, 수도 시스템에 장기간 접근을 유지했습니다. 문서화된 도구에는
wmic, ntdsutil, netsh, PowerShell, RDP가 포함되며, 모두 Volt Typhoon 프로필에 기록되어 있습니다. - APT28 / Fancy Bear (Russia/GRU)는 Nearest Neighbor 캠페인을 수년에 걸쳐 수행하며,
reg save로 SAM 하이브를 덤프하고,vssadmin으로 NTDS.dit를 추출하며,netsh portproxy로 내부 프록시를 생성하고, PowerShell로 자격 증명 접근 및 데이터 압축 후 유출을 수행했습니다. - FIN7은 맞춤형 난독화 PowerShell, POWERTRASH, 수정된 PowerSploit,
rundll32.exe를 통한 DLL 실행, 유효한 계정을 사용하여 FIN7 프로필에 따라 금융권을 공격합니다.
이들 캠페인 전반의 패턴은 일관적입니다: 신뢰받는 도구, 유효한 자격 증명, 최소한의 맞춤 코드. 이 패턴은 방어자가 직면하는 구체적인 과제도 드러냅니다.
Living Off the Land 공격 차단의 어려움
성숙한 보안 프로그램을 갖춘 조직도 LOTL에 취약한데, 이는 기존 도구가 설계상 다루지 못하는 취약점을 악용하기 때문입니다.
- 대규모 환경에서의 맥락 붕괴. 동일한 PowerShell 명령이 일상 관리 또는 실제 침해를 모두 의미할 수 있습니다. ICS/OT 환경에서는 SANS가 극단적 사례를 문서화했는데, 공격자가 HMI를 변경하고 표준 엔지니어링 워크플로우로 컨트롤러를 재프로그래밍했습니다.
- SIEM 구조적 한계. SIEM은 LOTL에 대해 로그 커버리지 부족(기본 설정에 명령줄 인수 미포함), 규칙 취약성(알려진 악성 패턴과 일치하지 않는 행위에 대한 정적 패턴 매칭), 오탐 마비 등으로 실패합니다.
- 클라우드 및 하이브리드 가시성 부족. SANS는 공격자가 이제 클라우드 도구를 악용해 관리자 권한을 획득하고 클라우드 환경 간 수평 이동을 한다고 지적합니다. Windows 엔드포인트만 방어하면 충분하지 않습니다.
- 국가 지원 및 랜섬웨어 기법의 수렴. MITRE ATT&CK 교차 행위자 매핑에 따르면 Volt Typhoon, APT28 등 국가 지원 행위자와 Black Basta, FIN7 등 랜섬웨어 운영자가 거의 동일한 기법(PowerShell, RDP, WMI, ntdsutil, 시스템 바이너리 프록시 실행)을 사용합니다. 위협 행위자 유형별로 방어를 분리할 수 없습니다.
이러한 과제는 일상 운영에 직접 영향을 미칩니다. 극복의 시작은 텔레메트리에서 LOTL 활동이 어떻게 보이는지 아는 것입니다.
Living Off the Land 공격 탐지 방법
LOTL 활동에는 전통적인 침해 지표가 부족합니다. 탐지를 위해서는 실행 중인 것 자체가 아니라, 어떻게 그리고 왜 실행되는지에 초점을 맞추고, 파일 평판이 아닌 행위 기반 맥락을 활용해야 합니다.
모니터링해야 할 행위 신호
CISA의 2025년 공동 지침은 시간대, 사용자 역할, 프로세스 계보 등 휴리스틱을 적용해 정상 LOLBin 사용과 악성 사용을 구분할 것을 권장합니다. 주요 신호는 다음과 같습니다:
- Office 애플리케이션(Word, Excel, Outlook)에서 PowerShell 또는 cmd.exe가 생성됨
ntdsutil 또는 vssadmin이 비관리자 계정에 의해 실행됨certutil이 인증서 관리가 아닌 파일 다운로드에 사용됨netsh가 변경 윈도우 외에 포트 프록시 규칙 생성 또는 방화벽 구성 변경에 사용됨rundll32.exe가 임시 또는 사용자 쓰기 가능 디렉터리에서 DLL을 로딩함- 유지보수 윈도우 외에 예약 작업 또는 WMI 구독 생성
SANS는 유연한 기준선 접근법을 권장하며, PowerShell 정규식을 이벤트 로그 필드에 적용하고, 환경의 정상 패턴을 학습하며 규칙을 반복적으로 개선할 것을 제안합니다. 이러한 신호는 올바른 텔레메트리가 분석에 공급될 때만 드러납니다.
중요한 로그 소스
기본 로깅 설정은 대부분의 LOTL 활동을 놓칩니다. CISA는 다음을 우선 활성화할 것을 권장합니다:
- PowerShell ScriptBlock 및 모듈 로깅
- 명령줄 프로세스 생성 감사(Event ID 4688, 인수 포함)
- Sysmon을 통한 프로세스 생성, 네트워크 연결, 파일 이벤트
- WMI 활동 로깅(Event ID 5857–5861)
이 로그를 중앙 집중식, 일회성 기록 위치에 집계하고, 사용자 및 엔터티 행위 분석(UEBA)을 적용해 기준선 대비 이상 징후를 탐지합니다.
적절한 텔레메트리가 있어도, 팀은 탐지 태세를 약화시키는 실수를 자주 저지릅니다.
Living Off the Land 방어의 일반적 실수
LOTL 위협을 인지한 보안팀도 반복되는 운영적 허점으로 인해 방어를 약화시킵니다.
- LOLBins에 대한 전면 허용 정책. 합법적인 IT 도구는 전역적으로 허용해도 안전하다는 신뢰는 공격 표면을 확장합니다. CISA 2025년 지침은 이를 명확히 경고합니다.
- 기본 로깅 설정 사용. PowerShell ScriptBlock 로깅, 모듈 로깅, 명령줄 프로세스 감사, WMI 활동 로깅을 활성화하지 않았다면 LOTL 분석에 필요한 텔레메트리가 부족합니다.
- 경보 부재를 침해 부재로 간주. 침묵이 곧 안전을 의미하지 않습니다.
- IT 사고 대응 플레이북을 ICS/OT에 적용. SANS는 IT 통제가 산업 환경에 직접 적용될 경우 피해를 유발할 수 있다고 경고합니다.
- 분석가 역량 대신 도구에 의존. 도구는 LOTL 맥락 평가에서 분석가의 역량을 대체할 수 없습니다. 위협 헌팅에 투자하지 않고 규칙만 구축하면 소음만 늘고 방어는 강화되지 않습니다.
이러한 실수를 피하려면 가시성을 높이고, 신뢰 남용을 줄이며, 분석가에게 더 많은 맥락을 제공하는 통제가 필요합니다.
Living Off the Land 공격 예방 방법
예방은 LOTL이 악용하는 공격 표면, 즉 과도하게 허용된 도구 접근, 약한 인증, 스크립팅 환경에 대한 불충분한 제약을 줄이는 데 중점을 둡니다.
- 중앙 집중식, 상세 로깅 활성화. CISA의 최우선 과제는 광범위한 로깅을 별도 채널, 일회성 기록 위치에 집계하는 것입니다. PowerShell, 프로세스 생성, WMI 활동을 포괄하는 상세 텔레메트리가 없으면 행위 분석이 불가능합니다.
- 애플리케이션 허용 목록 적용. AppLocker 또는 Windows Defender Application Control(WDAC)을 사용해 사용자, 경로, 게시자별로 LOLBin 실행을 제한합니다.
mshta.exe, psexec.exe, certutil.exe, wmic.exe,rundll32.exe는 승인된 관리자 계정 외에는 차단 또는 제한합니다. 적용 전 감사 모드로 시작하십시오. - PowerShell 제한 언어 모드 적용. CLM은 고급 스크립팅 기능을 제한해
[Convert]::FromBase64String()과 같은 .NET 메서드를 차단하면서 기본 cmdlet 기능은 유지합니다.AllSigned실행 정책 및 Just Enough Administration(JEA)과 결합하십시오. - 피싱 저항 MFA 적용. CISA는 이를 LOTL 방어를 위한 즉각적 우선순위로 지정합니다. RDP, VPN, 원격 모니터링 및 관리(RMM) 소프트웨어 접근에 대해 MFA를 강제 적용하고, CISA RMM 지침을 따르십시오.
- 제로 트러스트 아키텍처 도입. CISA와 NSA는 장기 전략으로 제로 트러스트를 강력히 권장합니다. LOTL은 경계 방어가 내부 도구와 인증 세션을 암묵적으로 신뢰하기 때문에 성공합니다. 제로 트러스트는 마이크로세그멘테이션, 최소 권한 접근, 지속적 검증을 통해 암묵적 신뢰를 제거합니다.
이러한 실천은 공격자에게 LOTL의 비용을 높입니다. 이를 기계 속도로 강제하려면, 행위 기반 맥락에 기반한 플랫폼이 필요합니다.
핵심 요약
Living off the land 공격은 신뢰받는 기본 시스템 도구를 악용해 시그니처 기반 방어를 우회합니다. 국가 지원 행위자와 랜섬웨어 운영자는 이제 Windows, Linux, 클라우드, OT 환경 전반에서 유사한 LOTL 기법을 사용합니다.
이들을 차단하려면 상세 로깅, 행위 기준선, 애플리케이션 통제, 제로 트러스트 아키텍처, 그리고 합법적 도구 사용과 악의적 의도를 구분하는 행위 기반 AI 사이버보안이 필요합니다. Singularity와 같이 전체 공격 체인을 자동으로 상관 분석하는 플랫폼은 LOTL이 악용하는 수동 조사 부담을 대체합니다.
자주 묻는 질문
Living off the land 공격은 공격자가 맞춤형 악성코드 대신 기본적으로 설치된 시스템 도구와 신뢰할 수 있는 바이너리를 사용하여 목표를 달성하는 공격자 행위 유형입니다.
PowerShell, WMI, certutil과 같이 대상 시스템에 이미 존재하고 승인된 도구를 활용함으로써, 공격자는 정상적인 관리 작업에 섞여 시그니처 기반 보안 통제를 우회할 수 있습니다.
LOTL은 도구의 출처에 중점을 두며, 합법적으로 사전 설치된 시스템 바이너리를 악용합니다. 파일리스 멀웨어는 실행 방식에 중점을 두며, 디스크에 파일을 기록하지 않는 방법을 사용합니다. 이 두 가지는 종종 겹치기도 하는데, 공격자가 네이티브 OS 바이너리를 사용하여 파일리스 PowerShell 페이로드를 실행할 수 있습니다.
그러나 파일리스 공격은 커스텀 도구를 사용할 수 있으며, LOTL은 MITRE ATT&CK T1218에 분류된 신뢰할 수 있고 서명된 바이너리를 통해 디스크에 파일을 기록하는 경우도 포함될 수 있습니다.
PowerShell (T1059.001), WMI/WMIC (T1047), rundll32.exe (T1218.011), certutil.exe (T1105), 그리고 cmd.exe (T1059.003)는 문서화된 캠페인에서 자주 나타납니다. 공격자는 이러한 바이너리를 선호하는데, 이는 운영 체제 공급업체에 의해 디지털 서명되어 사전 설치되어 있으며, 경고 없이 코드를 실행하거나 파일을 다운로드하거나 프로세스를 생성할 수 있기 때문입니다.
LOLBAS Project는 Windows에 대한 권위 있는 카탈로그를 유지하며, GTFOBins는 Linux, LOOBins는 macOS를 다룹니다.
바이너리 이름이 아닌 행위 기반 컨텍스트에서 시작하세요. Office 애플리케이션에서 실행된 PowerShell, 비관리자 계정에 의한 ntdsutil 실행, 파일 다운로드에 사용된 certutil 등을 탐지하세요. CISA는 시간대, 사용자 역할, 프로세스 계보와 같은 추가 휴리스틱을 활용해 결과를 필터링할 것을 권장합니다.
SANS는 이벤트 로그 필드에 정규식을 적용하는 유연한 기준선 접근 방식을 권장합니다. 환경의 정상 패턴을 학습하면서 규칙을 반복적으로 정제하세요.
맞춤형 악성코드는 위협 인텔리전스 팀이 식별, 추적, 시그니처 생성이 가능한 고유한 아티팩트를 남깁니다. LOTL은 시스템에 원래 존재하는 도구만 사용하므로 이러한 위험을 줄입니다.
CISA는 PRC 공격자가 LOTL을 사용하여 "정상적인 시스템 및 네트워크 활동에 섞이고, 네트워크 방어에 의한 식별을 회피하며, 일반적인 로깅 구성에서 기록되는 활동을 최소화한다"고 확인했습니다.
