파일리스(Fileless) 공격 대응 필수 체크리스트

By PLURA

🧬 파일리스 공격은 기존의 파일 기반 악성코드와 다릅니다.
디스크에 악성 파일을 남기지 않거나, 남기더라도 최소화한 채 메모리, 정상 프로세스, 정상 도구(LOLBins) 를 악용합니다.

그래서 이런 공격은
전통적인 파일 기반 탐지만으로는 놓치기 쉽습니다.

핵심은 분명합니다.

파일을 찾는 보안만으로는 부족합니다.
행위, 메모리, 명령어, 프로세스 흐름을 함께 봐야 합니다.

아래 체크리스트는
특정 제품이 없어도 먼저 점검할 수 있는 기본 위생과 실전 대응 항목을 기준으로 정리했습니다.
이후 고도화된 EDR/XDR 솔루션이 있다면 그 위에서 더 정밀한 탐지와 대응을 운영할 수 있습니다.

fileless_checklist

1. 시스템 및 소프트웨어 업데이트

✔️ 보안 패치를 신속히 적용해 알려진 취약점 악용을 줄이기

파일리스 공격도
대개는 초기 침투가 필요합니다.

그 초기 침투는 종종

  • 브라우저 취약점
  • 오피스 문서 취약점
  • 스크립트 엔진 취약점
  • 원격 서비스 취약점

을 통해 시작됩니다.

즉, 파일리스라고 해서
취약점 관리가 덜 중요해지는 것이 아니라,
오히려 더 중요해집니다.

최신 보안 패치는
파일리스 공격의 초기 진입 성공률 자체를 낮추는 가장 기본적인 수단입니다.

2. 제로 트러스트와 최소 신뢰 원칙 적용

✔️ 사용자·디바이스·프로세스를 기본적으로 신뢰하지 않고 계속 검증하기

파일리스 공격은
정상 계정, 정상 도구, 정상 세션 안에 숨어드는 경우가 많습니다.

그래서 “이미 로그인했으니 괜찮다”는 생각이 가장 위험합니다.

점검해야 할 질문은 다음과 같습니다.

  • 이 계정이 지금 이 작업을 하는 것이 자연스러운가?
  • 이 디바이스가 이 리소스에 접근하는 것이 정상인가?
  • 이 프로세스가 이 권한으로 실행되는 것이 타당한가?

파일리스 대응의 핵심은
정상처럼 보이는 행위 속의 비정상성을 찾는 것입니다.

3. 스크립트 실행 통제

✔️ PowerShell, WMI, 매크로, 스크립트 엔진의 실행 범위를 줄이기

파일리스 공격은
다음 도구를 자주 악용합니다.

  • PowerShell
  • WMI
  • mshta
  • rundll32
  • regsvr32
  • cscript / wscript

따라서 다음 점검이 필요합니다.

  • PowerShell Constrained Language Mode 검토
  • 오피스 매크로 기본 차단
  • 불필요한 스크립트 엔진 비활성화
  • 허용된 스크립트 경로와 실행자 제한
  • 명령행 인자 로깅 활성화

여기서 중요한 것은
“PowerShell을 아예 없애는가”보다
누가, 언제, 어떤 인자로 실행했는가를 볼 수 있게 만드는 것입니다.

파일리스 공격은
스크립트 자체보다 스크립트 실행 맥락에서 더 잘 드러납니다.

4. 권한 관리

✔️ 최소 권한 원칙으로 권한 상승과 내부 확산을 어렵게 만들기

파일리스 공격이 무서운 이유는
초기 실행보다 이후 확산 때문입니다.

공격자는 보통 다음을 노립니다.

  • 관리자 권한 확보
  • 자격 증명 획득
  • 서비스 계정 악용
  • 내부 시스템 이동

따라서 점검해야 할 것은 다음입니다.

  • 불필요한 로컬 관리자 권한 제거
  • 서비스 계정 최소화
  • 특권 계정 분리
  • 권한 상승 이벤트 로깅
  • 관리자 세션 사용 시간 제한

많은 파일리스 공격은
“실행”보다 권한 상승 이후 더 큰 피해를 만듭니다.

5. 네트워크와 C2 통신 점검

✔️ 이상 트래픽, 비정상 목적지, C2 징후를 지속적으로 확인하기

파일리스 공격은
메모리 안에서만 움직이는 것처럼 보여도,
결국 외부와 통신해야 하는 경우가 많습니다.

특히 점검할 항목은 다음입니다.

  • 신규 외부 목적지 연결
  • 희귀 도메인 또는 낮은 평판 목적지
  • 비정상 시간대의 반복 통신
  • “작게, 자주” 발생하는 주기적 연결
  • 정상 프로세스의 비정상 외부 연결

또한 다음 같은 구조가 있으면 좋습니다.

  • DNS 로깅
  • Egress 허용목록
  • 프록시 경유 정책
  • 비정상 비콘 패턴 탐지

파일리스 공격은 파일을 숨길 수 있어도,
외부와의 연결 흔적까지 완전히 숨기기는 어렵습니다.

6. 엔드포인트 보호 기능 유지 및 강화

✔️ 기본 보안 기능을 끄지 않고, EDR/XDR 계열 탐지를 함께 운영하기

기본 보안 기능을 비활성화한 환경은
파일리스 공격에 특히 취약합니다.

예를 들어:

  • Windows Defender 비활성화
  • ASR 규칙 미적용
  • Script Block Logging 미사용
  • Sysmon/Audit 설정 부재

같은 상태는
탐지 가능성을 크게 낮춥니다.

기본 보호 기능은 유지하고,
가능하다면 그 위에 행위 기반 탐지가 가능한 EDR/XDR 계열 보안을 추가하는 것이 현실적입니다.

파일리스 공격은
“기본 기능 + 행위 기반 탐지” 조합에서 훨씬 더 잘 드러납니다.

7. 로깅 및 모니터링

✔️ 중앙 집중식 로그 수집과 실시간 분석 체계를 갖추기

파일리스 공격 대응에서
로그는 선택이 아닙니다.

최소한 다음은 있어야 합니다.

  • 프로세스 생성 로그
  • 명령행 인자
  • 네트워크 연결 로그
  • PowerShell Script Block Logging
  • WMI 관련 이벤트
  • 권한 상승 및 인증 이벤트
  • 파일 생성/변경 흔적

특히 중요한 것은
단일 이벤트보다 연결된 흐름을 보는 것입니다.

예를 들어:

  • Word 실행
  • PowerShell 호출
  • 외부 연결
  • 자격 증명 접근 시도

이런 흐름은
단독 이벤트보다 훨씬 강한 신호입니다.

로그는 많기만 해서는 안 됩니다.
행위의 순서와 관계를 볼 수 있어야 합니다.

8. 공격 표면 최소화

✔️ 불필요한 서비스·포트·기본 계정·원격 관리 기능 제거하기

파일리스 공격은
새로운 실행 파일을 올리지 않아도 되기 때문에,
기존 환경에 남아 있는 기능을 그대로 악용합니다.

따라서 다음이 중요합니다.

  • 불필요한 원격 관리 기능 제거
  • 기본 계정 비활성화
  • 사용하지 않는 포트 닫기
  • LOLBin 악용 가능 기능 점검
  • 매크로·스크립트·원격 실행 기능 최소화

이 항목은 단순하지만 매우 중요합니다.

파일리스 공격은
공격자가 특별히 ‘추가 설치’하지 않아도
이미 있는 것을 악용할 수 있다는 점에서 더 위험합니다.

9. 사용자 교육 및 인식

✔️ 피싱, 소셜 엔지니어링, 문서 기반 실행 유도에 대한 교육 강화

파일리스 공격의 시작점은
종종 사람입니다.

  • 악성 매크로 문서 열기
  • 링크 클릭
  • 스크립트 실행 허용
  • MFA 피로 공격 수용
  • 정상 관리자처럼 위장한 요청 승인

사용자 교육은 여전히 중요합니다.
특히 다음을 강조해야 합니다.

  • 문서 열람 시 실행 허용 주의
  • 의심 링크와 첨부파일 차단
  • 비정상 MFA 승인 거부
  • 관리자 권한 요청에 대한 검증

기술만으로는 부족합니다.
사람의 실수는 여전히 파일리스 공격의 주요 진입점입니다.

10. 대응 계획 수립 및 훈련

✔️ 사고 대응 절차를 문서화하고 정기적으로 훈련하기

파일리스 공격은
탐지도 어렵지만, 대응도 늦어지기 쉽습니다.

왜냐하면 흔적이 적고,
“정상 프로세스처럼 보이는 행위”가 많기 때문입니다.

그래서 대응 계획은
미리 정해져 있어야 합니다.

  • 의심 단말 격리 절차
  • 메모리 덤프 확보 절차
  • 관련 계정 잠금 절차
  • 포렌식 보존 절차
  • 복구 및 재발 방지 절차

그리고 정기 훈련이 필요합니다.

  • Table-top exercise
  • Purple Team 시나리오
  • PowerShell/WMI 기반 침해 재현
  • AMSI 우회, 프로세스 인젝션 가정 훈련

파일리스 공격은
탐지뿐 아니라 초기 대응 속도가 결과를 크게 좌우합니다.

11. 파일리스 공격에 특화해 추가로 점검할 기술 포인트

위 체크리스트가 기본 위생이라면,
아래는 파일리스 공격에 좀 더 특화된 점검 항목입니다.

A. AMSI 우회 탐지

  • AMSI 비활성화 또는 우회 시도 모니터링
  • Script Block Logging과 상관 분석

B. 프로세스 인젝션 / 프로세스 할로잉

  • 정상 프로세스 내부 코드 삽입 징후
  • 비정상 메모리 권한 변경
  • 실행 이미지와 메모리 행위 불일치

C. Reflective DLL Injection

  • 디스크 기록 없는 DLL 로딩 징후
  • 비정상 모듈 로드 흐름

D. 명령행 인자 분석

  • -enc, -nop, -w hidden 같은 PowerShell 인자
  • 난독화된 명령행 패턴
  • LOLBin 도구 체인 호출

E. 프로세스 트리 이상 탐지

  • Office → PowerShell
  • Browser → cmd
  • Web process → script engine
  • 서비스 계정 → 외부 연결

이 항목들은
파일리스 공격을 일반 악성코드 대응과 구분해 주는 핵심 포인트입니다.

12. 통합 보안 플랫폼은 어디에 도움이 될까

위 체크리스트는
특정 제품 없이도 먼저 적용할 수 있는 기본 원칙입니다.

다만 현실적으로는
모든 항목을 조직이 개별 도구와 인력만으로 운영하기 어렵습니다.

그래서 다음이 가능한 통합 플랫폼이 유용할 수 있습니다.

  • 행위 기반 탐지
  • 메모리 및 프로세스 이상 징후 식별
  • 엔드포인트와 네트워크 로그의 통합 가시성
  • 자동화된 격리와 대응

예를 들어 PLURA-XDR 같은 고도화된 XDR 구조
이런 다층 대응을 하나의 운영 흐름으로 묶는 예시가 될 수 있습니다.

여기서 중요한 것은
제품 이름보다도
파일리스 공격의 전체 흐름을 끊을 수 있는 운영 구조를 만드는 것입니다.

결론

파일리스 공격은 계속 진화하고 있습니다.
그리고 이 공격은
“파일이 없어서”가 아니라,
정상처럼 보이는 도구와 행위를 악용하기 때문에 더 어렵습니다.

그래서 대응도 달라져야 합니다.

  • 시스템 강화
  • 스크립트 통제
  • 권한 최소화
  • 네트워크 가시성 확보
  • 프로세스·메모리 행위 탐지
  • 중앙 로그 분석
  • 대응 계획과 훈련

이 모든 것이 함께 있어야 합니다.

파일리스 공격 대응의 핵심은
무언가가 ‘파일로 떨어졌는가’가 아니라,
무엇이 어떤 순서로 실행되고 연결되었는가를 보는 것입니다.

좋은 보안은
이 체크리스트를 모두 암기하는 데 있지 않습니다.

오히려
이 중 무엇이 이미 되고 있고,
무엇이 비어 있고,
무엇을 먼저 채워야 하는지 아는 데 있습니다.

그 점에서 이 체크리스트는
제품 소개보다 먼저
조직의 현재 보안 수준을 스스로 점검하기 위한 출발점이 되어야 합니다.

Tags