공격자는 신뢰받는 RMM(Remote Monitoring and Management) 도구를 이용해 LotL(Living off the Land) 공격을 수행한다. 이 과정은 보안 솔루션의 탐지를 피하고 권한을 상승시킨 뒤 내부망으로 이동하는 단계로 이어진다. 정상 활동과 악의적 행위를 구별하기 어렵기에, 초기 침투 후 장기간 지속성(Persistence)을 확보하는 데 치명적이다.
RMM 도구 악용 및 LotL 공격 사례와 최신 위협 동향
최근 사이버 공격은 전통적인 맬웨어 배포에서 기존 도구를 활용하는 Living off the Land(LotL) 기법으로 빠르게 바뀌고 있다. 2026년 Huntress Cyber Threat Report에 따르면 RMM 도구 악용 공격이 전년 대비 277% 증가한 반면, 전통적인 맬웨어 사용은 53% 감소했다. 공격자가 시그니처 기반 탐지를 우회하려 검증된 정상 소프트웨어를 택하고 있음을 보여준다.
Arctic Wolf 보고서는 32종의 RMM 도구가 악용되었으며, 특정 분기 사고 대응(IR) 사례의 36%가 이 도구와 연관되었다고 밝혔다. CrowdStrike는 단일 공격자가 타겟 환경에 30개 이상의 RMM 도구를 동시에 배치해 탐지를 교란한 극단적 사례도 포착했다. 의료 및 기술 분야에서 증가세가 두드러지며, 핵심 인프라 관리 도구가 공격 통로가 되는 역설적인 상황이 발생한다.
주요 RMM 기반 공격 경로 및 위협 행위자 분석
CURLY SPIDER, CHATTY SPIDER, PLUMP SPIDER와 같은 전문 조직과 Black Basta 랜섬웨어 그룹이 주요 위협 행위자다. 이들은 단순 설치를 넘어 정교한 유포 경로와 패키징 기법으로 기업 내부에 침투한다. Malvertising(악의적 광고)을 통해 하루 약 150달러로 특정 키워드에 광고를 노출하고, CloudFlare를 이용해 악성 웹사이트를 숨겨 스캐너를 회피하는 방식이다.
정상 RMM 도구인 ScreenConnect가 포함된 악성 패키지를 만들어 Microsoft Teams 바이너리와 묶어 배포하기도 한다. 사용자와 보안 시스템이 의심 없이 설치하도록 유도하는 수법이다. PowerShell 명령으로 대상 컴퓨터가 도메인 환경인지 확인한 뒤, 맞다면 공격을 개시하는 정밀한 타겟팅 전략을 쓴다.
| 구분 | 주요 악용 도구 및 행위자 | 특이 사항 및 공격 기법 |
|---|---|---|
| 악용 RMM 도구 | ConnectWise ScreenConnect, AnyDesk, Atera, NetSupport, PDQ Connect, SplashTop | 정상 관리 도구로 인식되어 EDR/AV 탐지 회피 용이 |
| 위협 행위자 | CURLY SPIDER, CHATTY SPIDER, PLUMP SPIDER, Black Basta | LotL 기법을 통한 권한 상승 및 랜섬웨어 유포 |
| 유포 경로 | Malvertising, DLL 사이드 로딩, 사회공학적 기법 | CloudFlare를 통한 스캐너 회피 및 정상 바이너리 패키징 |
사이버 공격 체인 분석: RMM을 통한 권한 상승과 침투 과정
RMM 도구를 활용한 공격 체인은 원격 제어를 넘어 시스템 전체 제어권을 장악하는 방향으로 확장된다. 핀팀 공격 캠페인은 금융 기관을 대상으로 변조된 팀뷰어(TeamViewer)를 활용한 피싱 공격을 시도했다. DLL 사이드 로딩(DLL Side-Loading) 기법으로 정상 팀뷰어 실행 시 악성 DLL을 함께 로드하게 하여, 로그인 정보를 탈취하고 보안 경계를 무력화했다.
플로리다 올주마 정수 시설 해킹 사건은 더욱 심각하다. 공격자는 팀뷰어로 정수장 제어 컴퓨터에 접속해 수산화 나트륨(NaOH) 투입량을 정상 수치보다 100배 이상 높이려 시도했다. 실제 물리적 피해를 유발하려는 시도였다. 이 사건은 RMM 도구가 데이터 탈취를 넘어 국가 기반 시설의 운영 기술(OT) 환경까지 직접 제어할 수 있음을 보여준다.
RMM 도구 악용 및 LotL 공격 사례 대응을 위한 실전 방어 전략
정상 도구가 부적절한 맥락에서 쓰이는지 감지하려면 파일 탐지를 넘어선 행동 기반 분석이 필수다. RMM 도구는 관리자 권한으로 실행되는 경우가 많아, 설치되는 순간 시스템 전체의 통제권을 넘겨주게 된다. 단계별 통제 방안을 마련해야 한다.
- 다중 인증(MFA) 전면 의무화: MFA만 적용해도 자동화된 공격의 95% 이상을 차단한다. 비밀번호 기반 인증은 탈취 시 즉시 네트워크 침투로 이어진다.
- 엄격한 화이트리스트 및 애플리케이션 인벤토리 관리: CIS 2.1 표준에 따라 단순 설치 목록이 아닌, 조직 내 허용된 소프트웨어 목록(Allow List)을 작성한다. CIS 2.3에 의거해 허용되지 않은 소프트웨어는 즉시 제거하거나 차단하는 프로세스를 확립한다.
- ScreenConnect 등 다중 인스턴스 탐지 및 제거: 설치 폴더 이름의 고유 ID(GUID)를 주기적으로 확인해, 관리자가 승인하지 않은 인스턴스를 모니터링하고 즉시 제거한다.
- 제로 트러스트(Zero Trust) 기반 실행 제어: 허가된 애플리케이션만 실행되도록 설정한다. NetSupport RAT처럼 공격에 자주 악용되는 원격 액세스 도구 카탈로그를 만들어 집중 모니터링한다.
- 행위 기반 감시 및 포트 모니터링: 업무 시간 외 비정상 접속이나 평소와 다른 지리적 위치 접속 시도를 실시간 경고하고, 허가되지 않은 서비스의 포트 개방을 즉시 탐지한다.
조직적 대응 체계 및 보안 정책 수립 방안
기술적 통제와 함께 조직 차원의 정책적 접근이 필요하다. CIS IG1(Implementation Group 1) 보안 기준 준수만으로도 약 98%의 일반적 공격을 방어할 수 있다. 보안 운영 센터(SOC) 분석가는 ‘알람’ 발생 여부를 넘어, 해당 도구가 왜 이 시점에 누구에 의해 실행되었는지 맥락(Context)을 분석할 수 있어야 한다.
기술 지원팀을 사칭해 원격 프로그램 설치를 유도하는 사회공학적 기법에 대비한 임직원 교육도 정기적으로 실시해야 한다. 정상적인 RMM 도구는 기업 운영의 효율을 높이지만, 통제되지 않은 RMM은 공격자에게 열린 뒷문을 제공한다. 인벤토리 관리의 핵심을 ‘무엇이 설치되어 있는가’에서 ‘무엇이 허용되었는가’로 전환해야 한다.
RMM 도구를 활용한 LotL 공격은 정상적인 관리 활동의 가면을 쓰고 침투한다. MFA 도입, CIS 기반의 애플리케이션 인벤토리 관리, 행위 기반 맥락 분석이 필수적이다. 조직 내 설치된 모든 원격 관리 도구의 리스트를 전수 조사하고, 승인되지 않은 인스턴스를 찾아 즉시 보안 공백을 없애야 한다.