◎ 개요

  • Collection은 공격자가 시스템과 계정에 접근한 뒤, 실제로 가치 있는 데이터를 확보하는 단계입니다.
  • 이 전술은 단순히 파일을 복사하는 것에 그치지 않고, 데이터를 모으고, 정리하고, 압축하고, 외부로 옮기기 쉬운 형태로 바꾸는 과정까지 포함합니다.
  • 즉, Collection은 Exfiltration의 전 단계이면서, 공격자가 무엇을 훔칠지 우선순위를 정하는 실질적인 준비 단계라고 보시면 됩니다.

 

◎ Data Staging

 - Data Staging은 수집한 데이터를 한곳에 모아 두는 행위입니다.

  • MITRE는 공격자가 중앙 디렉터리나 임시 위치에 데이터를 모아 두거나, 압축 파일로 묶어 유출 전 준비를 할 수 있다고 설명합니다.
  • 이 과정은 유출 연결 수를 줄이고, C2 트래픽이나 외부 연결 횟수를 최소화해 탐지를 피하려는 목적이 큽니다.

 

 - 실무에서는 staging이 실제로 매우 자주 보입니다.

  • 예를 들어 민감 파일을 temp, public, shared folder, 임시 볼륨, 압축 폴더로 이동시키거나, 여러 문서를 하나의 아카이브로 합치는 경우가 대표적입니다.
  • 클라우드 환경에서는 가상 머신 내부나 특정 버킷, 마운트된 볼륨에 먼저 모아 두고 나중에 외부로 옮기는 방식도 있습니다.

 

 - 탐지 포인트는 단순 복사 이벤트보다 “대량 이동 + 압축 + 임시 위치 저장”의 조합입니다.

  • 짧은 시간에 여러 민감 파일이 한 디렉터리로 모이거나, 7zip, WinRAR, zip 같은 도구가 평소와 다르게 사용되면 주의하셔야 합니다.
  • 또한 클라우드에서는 버킷 간 복사, 스냅샷 생성, 임시 인스턴스 생성 후 데이터 집결 같은 패턴도 함께 봐야 합니다.

 

◎ Screen Capture

 - Screen Capture는 화면에 보이는 정보를 직접 가져오는 수법입니다.

  • 공격자는 문서, 메일, 인증 절차, 관리자 콘솔, 키 입력 순간, 보안 경고창 등 화면에서만 보이는 정보를 확보하려고 합니다.
  • 이 기법은 저장 파일이 없어도 민감 정보가 드러나는 상황에서 매우 유용합니다.
  • 특히 계정 탈취, MFA 승인 유도, 인트라넷 포털 확인, 대시보드 정보 확인처럼 화면 자체가 정보원인 경우에 자주 활용됩니다.
  • 공격자는 스크린샷을 찍거나, 화면 녹화 기능을 이용하거나, 원격 제어 세션을 통해 화면 내용을 수집합니다.
  • 이런 방식은 문서 접근보다 조용할 수 있고, 사용자가 직접 입력한 정보나 승인 화면을 포착할 수 있다는 점이 문제입니다.

 

 - 실무에서 Screen Capture를 잡으려면

  • 캡처 API 호출, 원격 세션 생성, 브라우저·원격 데스크톱 도구의 이상 행위를 함께 봐야 합니다.
  • 또한 민감 애플리케이션 위에서 캡처 도구가 실행되거나, 짧은 시간에 다수의 캡처 파일이 생성되면 의심해야 합니다.
  • 특히 관리자 콘솔, 결재 시스템, 클라우드 포털, 사내 메신저 화면이 반복적으로 캡처된다면 조사 우선순위를 높이셔야 합니다.

 

 

◎ Cloud Storage Abuse

 - Cloud Storage Abuse는

  • 클라우드 저장소를 악용해 데이터를 모으고, 옮기고, 때로는 외부 공유까지 시도하는 방식입니다.
  • MITRE와 클라우드 위협 모델 문서는 저장소가 단순 보관소가 아니라 공격자의 staging과 유출 통로가 될 수 있다고 설명합니다.
  • 즉, 버킷, 오브젝트 저장소, 공유 드라이브, 마운트된 클라우드 볼륨은 모두 Collection의 무기가 될 수 있습니다.
  • 공격자는 우선 내부 데이터를 클라우드 저장소에 모아 두고, 나중에 인터넷에서 접근 가능한 형태로 만들거나, 권한이 있는 계정으로 내려받습니다.
  • 또한 서비스 계정이나 과도한 IAM 권한을 이용해 저장소 간 복사, 스냅샷 이동, 파일 정리, 외부 링크 공유를 수행할 수 있습니다.
  • 이 과정은 정상 백업이나 협업 기능과 매우 비슷해 보여 탐지가 쉽지 않습니다.

 

 - Cloud Storage Abuse의 탐지 핵심은

  • 권한 변경, 비정상 업로드, 갑작스러운 대량 오브젝트 생성, 공유 정책 변경입니다.
  • 특히 평소 사용하지 않던 계정이 민감 버킷에 접근하거나, 신규 토큰으로 대량 업로드를 수행하거나, 외부 공개 설정이 바뀌면 강하게 봐야 합니다.
  • 클라우드에서는 파일명보다 API 호출과 권한 흐름을 보는 편이 훨씬 중요합니다.

 

◎ 공격자의 환경 인식

  • Collection은 공격자가 환경을 얼마나 잘 이해하고 있는지 보여 주는 단계입니다.
  • 어떤 데이터가 가치가 높은지, 어디에 저장되어 있는지, 어느 시점에 모아야 안전한지 판단해야 하기 때문입니다.
  • 즉, Collection은 단순 수집이 아니라 환경 인식의 결과물입니다.
  • 공격자는 민감 데이터가 있는 위치를 찾은 뒤, 접근권이 있는지 확인하고, 유출이 적은 경로를 선택합니다.
  • 예를 들어 대용량 로그나 고객 데이터는 곧바로 보내지 않고 staging 후 압축해서 유출하고, 민감 화면 정보는 캡처해 따로 저장합니다.
  • 클라우드에서는 데이터 경로가 서버가 아니라 저장소와 계정 사이의 권한 구조로 바뀌기 때문에, Collection 역시 그 구조를 따라가게 됩니다.

 

◎ 실무 탐지 포인트

  • Collection을 잡으려면 저장소 접근 로그, 파일 생성·이동 로그, 압축 도구 실행, 화면 캡처 행위, 클라우드 API 로그를 함께 보셔야 합니다.
  • 특히 대량의 파일이 한 번에 이동되거나, 민감 디렉터리에서 아카이브가 생성되거나, 외부 공유 설정이 바뀌는 순간은 핵심 신호입니다.
  • 또한 Screen Capture는 단독 이벤트보다 원격 접속, 브라우저 전환, 의심스러운 캡처 파일 생성과 함께 보셔야 효과적입니다.
  • Cloud 환경에서는 버킷 접근 패턴, 공유 링크 생성, 서비스 계정의 대량 다운로드, 임시 인스턴스 사용 여부를 함께 봐야 합니다.
  • Collection은 대부분 조용하게 진행되므로, 단일 경보보다 행위 흐름을 보는 것이 중요합니다.
  • 즉, “어떤 파일을 훔쳤는가”보다 “어떻게 모았고 어디에 staging했는가”를 읽어내셔야 합니다.

 

◎ 정리

  • Collection은 공격자가 실제로 가치 있는 데이터를 확보하고, 나중에 빼내기 쉽게 준비하는 전술입니다.
  • Data Staging은 유출 전 데이터 집결과 압축, Screen Capture는 화면 기반 정보 수집, Cloud Storage Abuse는 클라우드 저장소를 staging과 유출 통로로 악용하는 방식입니다.
  • 따라서 방어는 파일 유출만 보는 것이 아니라, 데이터가 모이고 정리되는 행위 자체를 조기에 포착하는 방향으로 설계하셔야 합니다.

 

 

 

반응형

+ Recent posts