"침해 후, 공격자는 어떻게 기기를 계속 조종할까?" 그 트래픽이 C2입니다. 작동 원리와 포착·차단 방법을 살펴봅니다(공격 도구나 운영 세부 사항은 다루지 않습니다).
공격 흐름에서의 위치
C2는 침해 자체가 아니라 그 이후에 옵니다.
중요한 점: (2)의 아웃바운드 트래픽이 탐지하고 끊을 기회입니다. 침해를 100% 막기는 어렵지만, 출구에서 알아채고 멈출 여지는 있습니다.
포착하는 법(단서)
| 단서 | 무엇을 볼 것인가 |
|---|---|
| 비콘(주기적 트래픽) | 같은 목적지로 일정 간격마다 나가는 규칙적인 아웃바운드 트래픽 |
| 낯선 목적지 | 의심스러운 도메인/IP(알려진 악성과 대조 = IOC) |
| 이상한 DNS | 낯선 도메인에 대한 질의; 비정상적으로 과도한 DNS |
| 예상치 못한 경로 | 예상치 못한 포트/프로토콜로 나가는 트래픽 |
방어하는 법
애초에 침해당하지 않기(토대)
출구를 죄기(이그레스)
DNS와 트래픽 로그 모니터링
알려진 악성 목적지 대조·차단
본 사이트의 견해: 입구뿐 아니라 '출구'를 지켜라 — 'C2 없음' 확인도 조사의 일부
C2 개념이 주는 가장 큰 교훈은 방어가 입구(침해)에만 있는 것이 아니라는 점입니다. 완벽한 예방이 어렵더라도, 출구(아웃바운드 트래픽)를 죄고 의심스러운 콜백을 알아챌 여지가 있습니다. 본 사이트는 "침해당하지 않는 설계(패치, 최소 권한, MFA)"를 주된 목표로 두면서, 이그레스 제어와 트래픽 모니터링을 마지막 방어선으로 함께 유지합니다. 침해가 의심될 때는 잔존 C2(백도어나 정체불명의 주기적 트래픽)가 없는지 확인하는 것이 핵심 단계임에 유의하세요 — "영향은 제한적이었다"라고 결론짓기 위해서는 출구 쪽 점검을 건너뛸 수 없습니다.
다음으로 읽기
FAQ
QC2(명령 제어)란 무엇인가요?
감염된 기기(악성코드에 감염되었거나 취약점으로 장악된 PC/서버)가 공격자 서버로 '콜백'하여 명령을 받고 탈취한 데이터를 내보내는 원격 제어 통로입니다. 공격의 흐름에서 보면 침해(예: RCE)가 성공한 이후, 기기를 계속 조종하기 위해 사용되는 단계입니다.
QC2는 어떻게 포착할 수 있나요?
핵심은 아웃바운드 트래픽입니다. 감염된 기기는 흔히 일정한 간격으로 공격자 서버에 주기적인 '심장 박동'(비콘)을 보냅니다. 평소와 다른 목적지로의 규칙적인 주기적 트래픽, 낯선 도메인에 대한 DNS 질의, 예상치 못한 포트/프로토콜의 아웃바운드 트래픽이 단서입니다. 흔적(IOC)이나 행위(IOA)로 잡아낼 수 있습니다.
QC2 방어의 기본은 무엇인가요?
(1) 애초에 침해당하지 않을 것(패치, 최소 권한, MFA); (2) 출구를 죌 것 — 아웃바운드 트래픽을 제한하는 '이그레스 필터링'; (3) DNS와 트래픽 로그를 모니터링해 의심스러운 주기적 트래픽이나 목적지를 알아챌 것; (4) 위협 피드의 알려진 악성 C2 목적지(IOC)를 대조하여 차단할 것. 핵심 발상: 침해는 입구뿐 아니라 출구에서도 막을 수 있다는 것입니다.