◎ 개요
- Exfiltration은 공격자가 내부에서 수집한 데이터를 조직 밖으로 빼내는 단계입니다.
- 이 전술은 단순한 파일 전송이 아니라, 경로 은닉, 정상 서비스 위장, 대량 전송 회피, 클라우드 권한 악용까지 포함하는 폭넓은 개념입니다.
- 즉, Collection이 데이터를 모으는 과정이라면, Exfiltration은 그 데이터를 실제로 가져가는 과정이라고 보시면 됩니다.
◎ Exfiltration Over Web Services
- Exfiltration Over Web Services는 외부 웹 서비스를 데이터 반출 경로로 활용하는 방식입니다.
- MITRE는 공격자가 이미 조직에서 허용된 외부 서비스나 TLS가 적용된 웹 서비스를 사용해 탐지를 어렵게 만들 수 있다고 설명합니다.
- 즉, 보안 장비 입장에서는 정상 웹 트래픽처럼 보이기 쉽다는 점이 큰 문제입니다.
- 이 기법이 자주 쓰이는 이유는 두 가지입니다.
- 첫째, 웹 서비스는 대부분 기본적으로 허용되거나 차단이 어렵습니다.
- 둘째, SSL/TLS 때문에 내용이 암호화되어 있어 중간에서 실제 데이터를 보기 어렵습니다.
- 공격자는 이 특성을 이용해 파일 업로드, 게시물 전송, 웹훅, 메신저 API, 클라우드 문서 공유 기능 등을 유출 통로로 바꿉니다.
- 실무에서 자주 보는 패턴은 다음과 같습니다.
- 압축한 데이터를 Discord, Slack, 웹훅 서비스로 전송합니다.
- curl, wget, PowerShell, 스크립트가 HTTP POST나 PUT 요청을 보냅니다.
- 정상 브라우저가 아닌 비정상 프로세스가 웹 서비스로 데이터를 올립니다. 이때 중요한 것은 “어디로 나갔는가”보다 “어떤 프로세스가 어떤 형태로 전송했는가”입니다.
◎ Cloud-native 데이터 유출
- 클라우드 네이티브 데이터 유출은
- 클라우드 저장소, 오브젝트 버킷, 공유 드라이브, 협업 공간, 백업 스냅샷을 악용해 데이터를 반출하는 방식입니다.
- MITRE와 클라우드 위협 모델 문서는 저장소가 단순한 보관소가 아니라, 공격자가 staging과 exfiltration을 수행하는 주요 경로가 될 수 있다고 설명합니다.
- 즉, 클라우드에서는 파일을 외부 서버로 직접 보내지 않아도, 클라우드 안에서 이미 반출이 이뤄질 수 있습니다.
- 가장 현실적인 시나리오는 다음과 같습니다.
- 내부 데이터를 클라우드 저장소로 먼저 모읍니다.
- 권한이 있는 계정이나 서비스 계정으로 해당 데이터를 내려받습니다.
- 공개 링크를 만들거나 외부 공유를 활성화합니다.
- 버킷 간 복사나 스냅샷 이동으로 데이터 흔적을 분산합니다. 이 방식은 전통적인 네트워크 유출보다 훨씬 조용하고, 감사 로그를 보지 않으면 놓치기 쉽습니다.
- 클라우드 네이티브 환경에서 특히 중요한 것은 IAM과 감사 로그입니다.
- 공격자는 보통 저장소 자체보다 권한을 먼저 노립니다.
- 서비스 계정, 오브젝트 읽기 권한, 외부 공유 권한, 액세스 키, 토큰을 확보하면, 합법적인 API 호출처럼 데이터를 빼낼 수 있습니다.
- 따라서 클라우드 유출은 네트워크 차단보다 권한 흐름과 API 사용 패턴이 더 중요합니다.
◎ 웹과 클라우드의 공통점
- 웹 서비스 유출과 클라우드 유출은 겉으로 보면 달라 보이지만, 본질은 비슷합니다.
- 둘 다 공격자가 “허용된 서비스”의 신뢰를 빌려 데이터 이동을 감추는 방식입니다.
- 즉, 차단 정책을 정면으로 깨기보다 정상 트래픽 속에 섞이도록 설계합니다.
- 또한 둘 다 데이터 자체보다 메타데이터가 중요합니다.
- 어떤 계정이, 어떤 위치에서, 어떤 도구로, 얼마나 자주, 어떤 크기의 데이터를 전송했는지가 핵심입니다.
- 실무에서는 실제 내용보다 “행위 패턴”이 먼저 드러나는 경우가 많기 때문에, 로그 상관분석이 매우 중요합니다.
◎ 탐지 포인트
- Exfiltration 탐지에서는 단일 파일 전송보다 대량성과 맥락을 함께 보셔야 합니다.
- 짧은 시간 안에 파일이 모였다가 곧바로 외부로 나가거나, 압축 도구 실행 뒤 웹 서비스 호출이 이어지는 패턴은 대표적인 신호입니다.
- 또한 평소 사용하지 않던 애플리케이션이 외부 웹훅이나 클라우드 저장소로 데이터를 보내면 더 주의하셔야 합니다.
- 클라우드에서는 다음 신호가 중요합니다.
- 신규 공유 링크 생성.
- 비정상적인 버킷 접근 또는 대량 다운로드.
- 서비스 계정의 대량 오브젝트 읽기.
- IAM 권한 변경 직후의 데이터 접근 급증.
- 일반 업무와 관계없는 지역·IP에서의 저장소 접근. 이런 징후가 보이면 단순 사용 여부보다 계정 탈취와 유출 전환을 의심해야 합니다.
◎ 방어 관점
- 방어에서는 데이터가 어디로 나갔는지만 보지 말고, 어디에 모였는지도 봐야 합니다.
- Collection 단계에서 staging을 막지 못하면 exfiltration은 훨씬 쉬워집니다.
- 따라서 DLP, 저장소 권한 최소화, 웹 서비스 사용 정책, Cloud Storage 감사 로그, 외부 공유 통제, 비정상 프로세스의 HTTP 요청 감시가 함께 필요합니다.
- 특히 웹훅이나 메신저, 파일 공유 서비스는 업무용으로도 많이 쓰이므로, 무조건 차단하기보다 용도와 계정 범위를 명확히 분리하는 것이 좋습니다.
- 클라우드에서는 public bucket, cross-account sharing, service account key 사용을 엄격히 관리하셔야 합니다.
- 또한 대용량 전송이 필요한 정상 업무와 공격자 유출을 구분할 기준선을 정하는 것이 중요합니다.
◎ 정리
- Exfiltration은 공격자가 확보한 데이터를 실제로 외부로 빼내는 전술입니다.
- Exfiltration Over Web Services는 웹 서비스의 신뢰와 TLS를 악용해 유출을 숨기고, Cloud-native 데이터 유출은 저장소와 권한 구조를 이용해 클라우드 내부에서 반출을 완성합니다.
- 따라서 방어는 네트워크 경계보다 데이터 이동의 행위 패턴과 계정·권한 흐름을 함께 보는 방향으로 설계하셔야 합니다.
'IT > MITRE ATT&CK' 카테고리의 다른 글
| [MITRE ATT&CK] Command & Control 이해하기 (0) | 2026.07.02 |
|---|---|
| [MITRE ATT&CK] Collection 이해하기 (0) | 2026.07.01 |
| [MITRE ATT&CK] Lateral Movement 이해하기 (0) | 2026.06.30 |
| [MITRE ATT&CK] Discovery — 공격자가 내부 환경을 어떻게 ‘읽는가’ (0) | 2026.06.29 |
| [MITRE ATT&CK] Credential Access 이해하기 (0) | 2026.06.28 |



