정상적인 RMM 도구 사용과 공격자의 악용을 구분하는 기준은 실행 계정의 권한 상승 여부, 프로세스 간 연결 고리, 그리고 사전 정의된 베이스라인과의 차이다. EDR이나 SOC 모니터링에서 이를 실시간으로 탐지하려면 RMM 허용 목록을 FQDN 기반으로 구성하고, 사용 시간대와 사용자 그룹을 제한하는 고탐지 룰셋을 설정하는 것이 가장 효과적이다.
RMM 기반 공격의 현실과 비인가 RMM 탐지의 필요성
최근 12개월 통계를 보면 비인가 RMM(Remote Monitoring and Management) 도구의 악용이 전체 사이버 보안 사고의 약 30%를 차지하며 심각한 위협으로 부상했다. 공격자들은 단순히 외부 툴을 설치하는 데 그치지 않는다. DCSync나 Mimikatz 같은 강력한 관리자 도구를 RMM 인벤토리로 위장해 보안 솔루션의 탐지를 피하는 정교한 패턴을 보인다. 정상적인 관리 도구의 외형을 띠고 있어 전통적인 시그니처 기반 탐지로는 한계가 명확하다.
이런 경향은 특정 산업군에서 더욱 두드러진다. 2024년 상반기 기준 주요 공업 분야 및 금융권에서 무허가 원격 관리 솔루션 설치로 인한 공급망 침해 사고가 전년 대비 24% 증가했다. 공격자가 신뢰받는 소프트웨어 공급망을 거쳐 침투한 뒤 RMM 도구를 설치해 지속적인 접근 권한을 확보하려는 전략이다. SOC 분석가는 단순한 도구의 실행 여부가 아니라 해당 도구가 어떤 경로로 유입되었으며 어떤 목적의 명령어를 수행하는지를 면밀히 분석해야 한다.
많은 기업의 CISO와 보안 커뮤니티는 비인가 RMM 탐지 시 운영상 발생하는 높은 오탐율과 탐지 난이도를 주요 우려 사항으로 꼽는다. 정상적인 IT 관리자의 원격 지원 활동과 공격자의 무단 접속 활동이 동일한 프로세스 이름을 사용하기 때문이다. 단순한 블랙리스트 방식의 차단보다는 행위 기반의 정밀한 탐지 모델과 화이트리스트 전략이 필수적인 시점이다.
정상 RMM 사용과 공격자 악용 패턴의 구분 기법
공격자는 RMM 도구를 단독으로 실행하기보다 다른 공격 기법과 결합하는 소프트웨어 체이닝 방식을 주로 사용한다. 실제로 최근 3년간 발생한 RMM 기반 공격의 75% 이상이 권한 상승 기법과 조합됐다는 데이터가 이를 뒷받침한다. 정상적인 관리자는 이미 부여된 관리자 권한으로 도구를 실행한다. 하지만 공격자는 일반 사용자 권한으로 침입한 후 시스템 권한을 획득하기 위해 특정 취약점을 이용하고 즉시 RMM 도구를 실행하는 패턴을 보인다.
프로세스의 부모-자식 관계 분석으로도 정상 사용자와 공격자를 구분할 수 있다. 정상적인 RMM은 표준 설치 경로에서 시스템 서비스나 지정된 관리자 계정이 실행한다. 반면 악성 RMM은 임시 폴더(Temp)나 사용자 프로필 경로에서 실행되거나 파워쉘(PowerShell) 및 CMD 같은 셸 프로세스의 하위 프로세스로 실행되는 경우가 잦다. 특히 RMM 인벤토리 자동 구성 스크립트가 관리자 권한으로 실행되는 특성을 악용해 레지스트리 값을 수정하거나 파일 경로를 바꾸는 행위는 전형적인 공격 징후다.
정상적인 운영 환경에서는 RMM 도구가 정해진 서버 FQDN(Fully Qualified Domain Name)과 통신하며 일정한 트래픽 패턴을 유지한다. 반면 공격자는 C2 서버와 통신하기 위해 비정상적인 도메인을 쓰거나, 프록시 및 VPN을 통해 접속 IP를 수시로 변경한다. 단순한 프로세스 모니터링을 넘어 네트워크 세션과 계정 로그인 패턴의 이상을 분석하는 행동 분석(Behavioral Analysis) 기반 접근이 필요하다.
| 구분 항목 | 정상 RMM 사용 패턴 | 비인가/악성 RMM 이용 패턴 |
|---|---|---|
| 실행 경로 | C:\Program Files\ 등 표준 설치 경로 | C:\Users\…\AppData\Local\Temp 등 임시 경로 |
| 프로세스 관계 | 시스템 서비스 또는 공식 런처에 의해 실행 | PowerShell, CMD, WMI 등 셸 프로세스의 하위 실행 |
| 권한 획득 과정 | 기존 관리자 권한 유지 및 활용 | 취약점 이용 권한 상승(Privilege Escalation) 후 실행 |
| 통신 대상 | 사전에 정의된 기업용 관리 서버 FQDN | 알 수 없는 외부 IP, 동적 DNS, C2 서버 |
| 실행 시간대 | 정해진 업무 시간 및 유지보수 시간 | 심야 시간대 또는 불규칙한 접속 패턴 |
비인가 RMM 탐지 및 EDR 설정 방법과 실시간 헌팅 가이드
EDR(Endpoint Detection and Response)로 비인가 RMM을 효과적으로 차단하려면 정교한 룰 설정이 필요하다. 마이크로소프트 디펜더 엔드포인트(MDE)는 이러한 위협에 대응하기 위해 2023년 11월 RMM 기반 공격에 특화된 지능형 헌팅 룰셋과 비정상 프로세스 연결 추적 기능을 업데이트했다. 분석가는 프로세스 트리 상에서 RMM 도구가 어떻게 연결되었는지 시각적으로 추적하고, 비정상적인 명령행 인자를 빠르게 식별할 있다.
효과적인 EDR 룰 설정을 위한 5가지 단계별 통제 방안은 다음과 같다.
- FQDN 및 서버 기반 화이트리스트 구축: RMM 허용 목록을 단순히 실행 파일 이름이 아닌, 통신하는 도메인 및 서버 FQDN 기반으로 구성해야 한다. RMM 프로세스와 그 하위 프로세스가 사용하는 계정 정보, 회사 서명 정보, 라이선스 키를 태깅하여 허용 여부를 즉시 검증하는 체계를 갖춘다.
- 파라미터 화이트리스트 적용: RMM 자동 구성 스크립트가 관리자 권한을 사용하므로, 스크립트가 접근하는 레지스트리 경로, 파일 경로, 그리고 명령행에 입력되는 파라미터를 전수 조사해 화이트리스트를 구성한다. 정의되지 않은 인자가 포함된 명령행 실행 시 즉시 차단하도록 설정한다.
- 컨텍스트 기반 고탐지(High Severity) 설정: RMM의 실행 시간대, 접속 위치, 사용자 그룹을 제한한다. 예를 들어, 정해진 영업 시간 외에 접속하거나 사무실 외부 IP에서 접속하는 경우, 혹은 보안 관리 그룹이 아닌 일반 사용자 그룹에서 RMM이 실행될 경우 이를 고위험 경고로 처리해 SOC에 즉시 알린다.
- 베이스라인 기반의 Diff 탐지: RMM이 사용하는 포트, 프로토콜, 대상 IP, 자산 그룹의 변경 로그를 수집한다. 이를 사전 정의된 베이스라인과 실시간으로 비교해 차이(Diff)가 발생하는 즉시 탐지한다.
- 인증 및 접근 제어 강화: RMM 관리 콘솔 접속 시 다중 요인 인증(MFA)을 필수로 적용하고, IP 제어 리스트(ACL)를 통해 허용된 관리자 단말에서만 접속이 가능하도록 강제한다.
SOC 모니터링 및 대응 플레이북 구성 방안
SOC(Security Operations Center) 대시보드는 단순히 경고를 나열하는 것이 아니라 RMM의 생명주기를 추적할 수 있는 구조로 설계해야 한다. 비인가 RMM 탐지 시 가장 먼저 확인해야 할 것은 해당 프로세스가 어떤 계정으로 실행되었으며, 그 직전에 어떤 네트워크 연결이나 파일 생성 행위가 있었는지에 대한 타임라인 분석이다. 특히 권한 상승 기법과 결합된 75%의 공격 패턴을 고려하여, Lsass.exe 메모리 덤프나 레지스트리 Hive 파일 접근 시도가 RMM 실행 전후로 있었는지 확인하는 플레이북이 필요하다.
대응 플레이북은 탐지 즉시 자동화된 격리 조치를 포함해야 한다. 비인가 RMM으로 판단되는 프로세스가 탐지되면 즉시 해당 엔드포인트를 네트워크에서 격리하고, 연결된 모든 원격 세션을 강제 종료하는 자동화 스크립트를 실행한다. 이후 SOC 분석가는 해당 도구가 설치된 경로의 바이너리를 수집해 샌드박스 분석을 수행하고, 동일한 해시값을 가진 파일이 조직 내 다른 자산에도 배포되었는지 전수 조사를 실시해야 한다.
마지막으로 모든 RMM 관련 로그는 중앙 로그 관리 시스템(SIEM)으로 전송되어 장기 보관되어야 한다. 공격자가 침입 후 흔적을 지우기 위해 로그를 삭제하더라도 서버 측에 남은 기록을 통해 침투 경로와 유출 데이터를 역추적하기 위해서다. 네트워크 세션과 로그인 패턴의 이상을 행동 분석(BA) 모델에 학습시켜, 평소와 다른 관리자의 행동 패턴이 감지될 때 선제적으로 경고를 보내는 체계를 구축하는 것이 궁극적인 목표다.
결론 및 보안 제언
비인가 RMM 도구는 정상적인 관리 도구라는 가면을 쓰고 침투하기 때문에 단순 차단 정책만으로는 방어가 불가능하다. 2024년 상반기 공급망 침해 사례에서 보듯 공격자는 갈수록 정교하게 권한 상승 기법과 RMM을 결합해 내부망을 장악하고 있다. 보안 운영자는 MDE와 같은 최신 EDR의 헌팅 룰셋을 적극 활용해야 한다. FQDN 기반의 화이트리스트와 엄격한 파라미터 통제, 그리고 시간 및 위치 기반의 컨텍스트 분석을 도입해야 한다.
결국 보안의 핵심은 정상적인 관리 행위의 베이스라인을 명확히 정의하고 그 범위를 벗어나는 모든 행위를 의심하는 제로 트러스트 관점의 접근이다. 지금 바로 조직 내에서 사용 중인 모든 원격 관리 도구의 인벤토리를 재점검하고, 비인가 툴의 실행을 실시간으로 탐지할 수 있는 EDR 룰셋 최적화를 시작해야 한다.