보안의 본질: 와일드파이어와 Windows, 그리고 SecureOS

By PLURA

🔥 와일드파이어: 힘과 파괴의 양면성

드라마 왕좌의 게임(Game of Thrones) 시즌 2, 5화에는
강렬한 장면 하나가 등장합니다.

바로 초록색 불꽃 — 와일드파이어(Wildfire) 입니다.

이 물질은 단순한 무기가 아닙니다.

  • 적을 단숨에 쓸어버릴 수 있는 강력한 힘
  • 동시에 통제하지 못하면 아군까지 파괴하는 위험
  • 보관만으로도 불안을 만드는 내부의 폭발물

티리온 라니스터가 이 위험을 정확히 이해했던 이유도 여기에 있습니다.

강력한 것은 언제나 위험합니다.
그리고 더 위험한 것은, 그 힘이 이미 내부에 존재한다는 사실입니다.

SecureOS

🧨 진짜 위험한 이유: “이미 내부에 존재한다”

와일드파이어가 정말 위험했던 이유는
파괴력이 강해서만은 아니었습니다.

더 본질적인 이유는 이것입니다.

이미 킹스랜딩 성 지하에 저장되어 있었다는 점

즉,

  • 외부에서 반입된 무기가 아니라
  • 도시 내부에, 보이지 않는 곳에, 이미 존재하던 폭탄이었습니다

그리고 결국 시리즈 후반(시즌 6의 10화),
이 와일드파이어는 실제로 폭발하며
바엘로르 대성당(Great Sept of Baelor)을 파괴하는 결과로 이어집니다.

이 비유가 중요한 이유는
Windows 운영체제도 본질적으로 비슷하기 때문입니다.

💻 Windows 시스템도 동일하다

우리가 매일 사용하는 Windows에는
원래부터 매우 강력한 기능이 들어 있습니다.

예를 들어:

  • PowerShell
  • WMI
  • Scheduled Task
  • rundll32
  • certutil
  • mshta
  • regsvr32

이들은 모두
운영과 관리, 자동화, 진단을 위해 만들어진 정상 기능입니다.

하지만 공격자 입장에서 보면 이야기가 달라집니다.

  • 파일 없이 실행할 수 있고
  • 정상 도구를 이용해 우회할 수 있으며
  • 별도 악성 파일 없이도 침투와 확산을 이어갈 수 있습니다

즉,

도구는 그대로인데, 목적이 바뀌는 순간 무기가 됩니다.

이것이 바로 LOLBAS(Living Off the Land Binaries and Scripts)의 본질입니다.

💣 LOLBAS: 우리 안에 있는 와일드파이어

LOLBAS는 특별한 악성코드가 아닙니다.

오히려 그 반대입니다.

  • 외부에서 들어온 것이 아니라
  • 운영체제 내부에 원래부터 존재하는 기능
  • 관리자와 운영자가 정상적으로 쓰는 도구
  • 그래서 더 쉽게 방심하게 되는 도구

대표적으로는 다음과 같습니다.

  • powershell.exe
  • mshta.exe
  • rundll32.exe
  • certutil.exe
  • regsvr32.exe
  • wmic.exe

이 도구들은
정상 환경에서는 관리 도구입니다.

하지만 공격자는 이 정상성을 이용합니다.

  • PowerShell로 원격 스크립트 실행
  • certutil로 파일 다운로드
  • rundll32로 우회 실행
  • regsvr32로 스크립트 로딩
  • mshta로 외부 HTA 실행

즉, 특별한 악성코드가 없어도
Windows 내부에 있는 기능만으로 공격 흐름을 만들 수 있습니다.

이 점에서 LOLBAS는 정확히
Windows 안에 있는 와일드파이어라고 볼 수 있습니다.

⚠️ 문제의 본질은 기능 부족이 아니라 통제 부족입니다

많은 조직은 보안을 이렇게 생각합니다.

  • 솔루션을 더 추가하면 안전해진다
  • EDR, SIEM, WAF, NDR을 더 연결하면 된다
  • 장비가 많아질수록 보안 수준도 올라간다

하지만 현실은 종종 다릅니다.

문제는 기능이 부족해서가 아니라,
이미 존재하는 강력한 기능이 통제되지 않는 상태에 있습니다.

예를 들어 이런 환경입니다.

  • PowerShell이 관리자 권한으로 무제한 실행됨
  • LOLBAS 도구가 누구에게나 열려 있음
  • 고급 감사 정책이 꺼져 있음
  • Sysmon이 없거나, 있어도 중요한 필드가 빠져 있음
  • 정책은 한 번 설정하고 끝나며 drift 여부를 확인하지 않음

이 상태에서는
보안 솔루션이 많아도
핵심 위험은 그대로 남습니다.

즉, 와일드파이어를 지하 창고에 쌓아 둔 채
출입 통제도, 감시도, 상태 점검도 없이 살아가는 것과 비슷합니다.

🧠 공격과 방어의 차이는 “무엇을 갖고 있느냐”가 아니라 “어떻게 통제하느냐”입니다

공격자와 방어자가 사용하는 도구가
항상 완전히 다른 것은 아닙니다.

오히려 현실에서는
같은 도구를 두고도 결과가 달라집니다.

공격자는:

  • 정상 도구를 악용하고
  • 흔적을 최소화하며
  • 정책의 빈틈을 찾고
  • 허용된 기능 안에서 우회합니다

반면 방어자는 종종:

  • 도구를 무조건 허용해 두거나
  • 로그를 충분히 남기지 않거나
  • 정책을 만들었지만 지속적으로 검증하지 않습니다

그래서 차이는 기술이 아니라
통제와 가시성, 그리고 지속적 관리에서 생깁니다.

🛡️ 해결 방향: SecureOS는 “추가 솔루션”보다 “운영 방식의 전환”입니다

PLURA-SecureOS는 이 문제를
새로운 보안 장비 하나를 더 추가하는 방식으로 보지 않습니다.

핵심은 세 가지입니다.

  1. 실행 통제
  2. 행위 가시화
  3. 상태 기반 운영

이 세 가지가 함께 가야
Windows 내부의 와일드파이어를
도구로 유지할 수 있습니다.

1️⃣ 실행 통제: 누가 무엇을 실행할 수 있는가를 먼저 정해야 합니다

첫 번째는 Execution Control입니다.

Windows 보안에서 가장 중요한 질문은
“악성코드가 실행됐는가?”보다 먼저
이것이어야 합니다.

애초에 무엇을 실행할 수 있게 둘 것인가?

이 지점에서 중요한 것이
WDAC(Windows Defender Application Control)
AppLocker 같은 허용 기반 정책입니다.

예를 들어 실무에서는 다음과 같은 접근이 가능합니다.

  • 승인된 경로와 서명된 실행 파일만 허용
  • PowerShell 전체 허용이 아니라, 사용 대상과 조건 제한
  • mshta.exe, regsvr32.exe, rundll32.exe 같은 LOLBAS는 기본 차단 또는 강한 제한
  • 관리 도구는 특정 관리자 그룹과 특정 서버에서만 허용
  • 일반 사용자 단말에서는 스크립트 실행을 원칙적으로 제한

즉, 중요한 것은
“악성 실행을 나중에 탐지하는 것”만이 아니라
정상 도구라도 무제한으로 실행되지 않게 만드는 것입니다.

2️⃣ 행위 가시화: 실행 여부가 아니라 실행 체인을 봐야 합니다

두 번째는 Visibility입니다.

SecureOS 관점에서 로그는
“실행됐다/안 됐다”를 기록하는 수준으로는 부족합니다.

중요한 것은 Execution Chain입니다.

즉, 다음과 같은 흐름이 보여야 합니다.

  • 누가 시작했는가 (Parent)
  • 무엇이 실행됐는가 (Image)
  • 어떤 인자가 사용됐는가 (CommandLine)
  • 어떤 파일 접근이 이어졌는가
  • 어떤 네트워크 연결이 발생했는가
  • 이후 어떤 프로세스가 추가 생성됐는가

예를 들어 아래와 같은 흐름을 생각할 수 있습니다.

단계 예시
Parent WINWORD.EXE
Child powershell.exe
CommandLine 인코딩된 명령어 또는 원격 스크립트 호출
Follow-up 1 외부 주소 연결
Follow-up 2 rundll32.exe 또는 추가 PowerShell 실행
Follow-up 3 지속성 확보 또는 계정/권한 관련 행위

단일 이벤트만 보면
각각은 놓칠 수도 있습니다.

하지만 체인으로 보면
정상 문서 작업이 아니라
공격 흐름이라는 점이 드러납니다.

이 지점에서 Sysmon과 고급 감사 정책이 중요합니다.

예를 들어 실무적으로는 다음과 같은 로그가 특히 중요합니다.

  • 프로세스 생성
  • 명령줄(CommandLine)
  • 네트워크 연결
  • 파일 생성/변경
  • 서비스/작업 스케줄 등록
  • 권한 관련 이벤트
  • 정책 변경 및 보안 설정 변경

즉, 보안은 단일 알림이 아니라
행위의 연결성을 볼 수 있어야 합니다.

3️⃣ 지속적 관리: 보안은 설정이 아니라 상태(State)입니다

세 번째는 Operational Control입니다.

많은 조직은
정책을 한 번 설정하면 끝났다고 생각합니다.

하지만 Windows 보안 운영에서 더 중요한 것은
정책이 존재하는지가 아니라
지금도 그 정책이 살아 있는가입니다.

예를 들어 다음과 같은 문제가 자주 생깁니다.

  • WDAC 정책이 일부 시스템에만 적용됨
  • Sysmon이 설치되어 있지만 설정 파일이 오래됨
  • 감사 정책이 일부 항목에서 꺼져 있음
  • 예외 정책이 누적되며 원래 의도를 잃음
  • 운영 중 임시 허용이 그대로 남아 drift가 발생함

그래서 SecureOS는
설정을 “한 번 넣는 작업”이 아니라
상태를 계속 확인하고 drift를 감지하는 운영 체계여야 합니다.

예를 들면 다음과 같은 질문에
항상 답할 수 있어야 합니다.

  • WDAC가 실제로 ON인가
  • 어떤 LOLBAS 항목이 현재 차단 중인가
  • Sysmon 설정 버전은 최신인가
  • 감사 정책이 기대 상태와 일치하는가
  • 예외가 누가, 언제, 왜 추가되었는가

이것이 바로
보안을 static configuration이 아니라
stateful operation으로 봐야 하는 이유입니다.

🔍 핵심 개념: 이제는 “악성코드가 있느냐”보다 “행위 체인이 어떻게 이어졌느냐”를 봐야 합니다

전통적인 질문은 이랬습니다.

  • 악성 파일이 있는가?
  • 알려진 시그니처가 있는가?
  • 탐지명이 붙었는가?

하지만 Windows LOLBAS 환경에서는
이 질문만으로는 부족합니다.

이제는 다음 질문이 더 중요합니다.

  • 누가 실행했는가
  • 어떤 부모 프로세스에서 시작됐는가
  • 어떤 인자로 실행됐는가
  • 이후 어떤 네트워크·파일·권한 행위가 이어졌는가
  • 이 흐름이 정상 운영과 구분되는가

이것이 바로 Execution Chain 관점입니다.

단일 이벤트가 아니라
행위의 흐름을 보는 것
그것이 Windows 보안 운영의 핵심입니다.

🚨 결론: 우리는 강력한 도구 위에서 운영하고 있습니다

이제 정리해 보겠습니다.

  • 와일드파이어는 외부 무기가 아니라
    도시 내부에 있던 폭탄이었습니다
  • Windows의 LOLBAS도 외부 악성코드가 아니라
    시스템 내부의 정상 도구입니다
  • 그래서 더 위험한 것은 존재 자체보다
    통제되지 않는 상태입니다

조금 더 정확히 말하면,
우리는 폭탄 위에서 운영한다기보다
강력한 도구와 위험한 기능이 함께 들어 있는 운영체제 위에서 일하고 있습니다.

그리고 그 차이를 만드는 것은 단 하나입니다.

  • 통제하면 도구
  • 방치하면 공격 경로

🎯 마지막 메시지

Windows 보안의 본질은
기능을 없애는 것이 아닙니다.

핵심은 이 세 가지입니다.

  • 실행을 통제하고
  • 행위를 가시화하고
  • 상태를 지속적으로 관리하는 것

PLURA-SecureOS는 이 문제를
단순 제품 기능이 아니라
Windows를 실제로 안전하게 운영하기 위한 체계로 접근합니다.

  • 실행 통제: WDAC / AppLocker
  • 행위 가시화: Sysmon / Audit / Execution Chain
  • 상태 기반 운영: ON/OFF/Drift 점검과 검증

결국 보안의 본질은
더 많은 기능을 추가하는 데 있지 않습니다.

이미 내부에 있는 강력한 기능을
얼마나 잘 통제하고, 기록하고, 유지할 수 있는가
여기에 있습니다.

📚 참고 읽기

Tags