야옹! 미미캐츠(Mimikatz)란 무엇일까요? 어떻게 피할 수 있을까요?

‘미미캐츠’ 또는 ‘미미카츠’라고 불리는 Mimikatz는 Windows 시스템을 사용하는 컴퓨터에서 자격 증명 및 기타 민감한 데이터를 추출하는 데 사용하는 오픈 소스 도구입니다. 전 세계 사이버 보안 전문가와 모의 침투 테스터는 이 합법적인 도구를 사용하여 시스템을 테스트하고 감사합니다. 하지만 해커들 사이에서 널리 사용되면서 위험한 해킹 도구로 명성을 얻었습니다.

미미캐츠는 Windows 기능을 손상시키고 악의적인 사용자가 시스템의 메모리 및 보안 토큰(예: Kerberos 티켓)에 액세스하도록 허용하며, 나중에 제한된 정보에 무단으로 액세스하는 데 사용될 수 있습니다. 미미캐츠가 추출한 자격 증명은 일반적으로 해시 또는 일반 텍스트 비밀번호 형태로 제공되며, 해커는 훔친 자격 증명으로 피해자의 시스템에 액세스할 수 있습니다.

원래 개발 의도와는 다르게 악의적인 공격자에 의해 사용되면 미미캐츠는 심각한 보안 침해와 민감한 기밀 데이터 도난으로 이어질 수 있습니다. 따라서 기업과 조직은 보안 패치, 최신 소프트웨어, 다단계 인증 등을 통해 미미캐츠로부터 시스템을 보호하기 위한 모든 사이버 보안 예방 조치를 취하는 것이 중요합니다.

Mimikatz 애플리케이션은 2007년 프랑스의 윤리적 해커 벤자민 델피(Benjamin Delpy)가 Windows 인증 시스템의 취약점을 보여주려는 목적으로 처음 개발했습니다. 델피는 미미캐츠를 두고 “윈도우 보안을 가지고 노는 작은 툴”이라고 설명했지요. 미미캐츠라는 이름은 프랑스 은어로 귀엽다는 의미인 ‘미미’가 붙어 ‘귀여운 고양이’라는 뜻입니다.

2011년 벤자민 델피는 미미캐츠를 사용해 Windows 시스템의 WDigest 취약점을 발견하고 이를 마이크로소프트에 알렸습니다. 하지만 마이크로소프트는 해커가 시스템에 저장된 비밀번호를 알아내기 전에 관리자 권한에 액세스해야 하기 때문에 실제 취약점이 아니라고 주장하며 그의 경고를 거부했습니다.

하지만 해커들은 미미캐츠를 사용하여 Microsoft 인증 소프트웨어를 익스플로잇하여 관리자 권한을 얻고, 암호화된 비밀번호를 훔치고, 감염된 컴퓨터를 사용하여 네트워크의 여러 디바이스에 액세스할 수 있다는 사실에 환호했습니다.

미미캐츠가 오픈 소스화 된 이후로 멀웨어를 유포하는 해커들이 미미캐츠를 애용하게 되었지요. 이터널블루(EternalBlue) 같은 NSA가 사용한 익스플로잇 도구를 드러나게 한 낫페트야(NotPetya) 사건이나 유명한 디지노타(DigiNotar) 및 워너크라이(WannaCry), 배드래빗(BadRabbit) 랜섬웨어 공격을 수행하는 데 미미캐츠가 사용되었습니다.

미미캐츠는 앞으로도 윈도우 플랫폼 공격을 위한 가장 효과적이고 공격적인 보안 툴로 남을 것이라고 예상됩니다.

미미캐츠는 자격증명 탈취를 위해 윈도우의 SSO(single-sign-on) 기능을 사용합니다. Windows 10 이전까지 윈도우는 기본적으로 WDigest라는 기능이 사용되었는데, 이는 암호화된 비밀번호를 메모리에서 로딩함은 물론, 이를 복호화하기 위한 비밀 키도 로딩합니다. WDigest는 기업이나 정부 네트워크에서 대규모의 사용자를 인증하기 위한 유용한 기능이었지만, 미미캐츠가 메모리에서 비밀번호를 추출하기 위해 악용할 수 있는 기능이기도 합니다.

2013년 마이크로소프트는 윈도우 8.1에서 이 기능을 비활성화할 수 있도록 했으며, 윈도우 10에서는 비활성화를 기본 설정으로 만들어졌습니다. 하지만 여전히 윈도우에는 WDigest가 있으며, 관리자 권한을 얻은 공격자들은 간단히 이 기능을 활성화해서 미미캐츠를 실행할 수 있습니다.

• 해시 전달 – 공격자는 훔친 비밀번호 해시를 사용하여 다른 시스템에 침입함으로써 실제 비밀번호 없이도 네트워크 내부로 이동할 수 있습니다.
• 해시 우회 – 공격자는 도메인 컨트롤러에서 얻은 고유 키를 전달하여 권한 있는 사용자로 인증하고 데이터베이스, 서버 및 기타 중요한 시스템과 같은 중요한 리소스에 액세스합니다.
• 티켓 전달 – 해커는 미미캐츠를 사용하여 Kerberos 프로토콜을 깨뜨립니다. 미미캐츠는 Kerberos 티켓을 다른 컴퓨터로 전달하여 사용자 계정을 사칭하고 모든 리소스에 액세스할 수 있도록 합니다.
• 키 전달 – 이 유형의 공격은 해시 전달의 또 다른 변형입니다. 공격자는 암호 해시 대신 암호화 키를 추출하여 시스템에 침입하고 중요한 자격 증명을 얻습니다.
• Kerberos 티켓 조작 – 미미캐츠는 골드 및 실버 Kerberos 티켓을 조작하여 Kerberos 프로토콜 인증으로 보호되는 시스템 및 서비스에 액세스할 수 있습니다.

이렇듯이 Mimikatz 도구는 악의적인 목적으로 사용되는 경우가 많으므로 시스템과 데이터에 대한 무단 액세스를 방지하기 위해 주의 깊게 모니터링해야 합니다. 잠재적인 비밀번호 탈취 공격을 방지하려면 다단계 인증 기능을 활성화하고 비밀번호 관리자 프로그램을 사용하여 강력한 비밀번호를 생성하고 주기적으로 변경하는 것이 필요합니다.

아니요. 미미캐츠는 멀웨어가 아닙니다. 사이버 보안 전문가는 침투 테스트 및 포렌식 분석과 같은 합법적인 목적으로 이 도구를 사용합니다. 패치를 관리하고 권한 있는 액세스를 처리하거나 시스템 취약점을 탐지하여 해킹 및 멀웨어를 방지하는 데에도 이 도구를 사용합니다.

하지만 악의적인 공격의 일부로 사용되는 경우가 많으므로 위험한 해킹 도구로 간주됩니다. 악의적인 공격자는 이 도구를 사용하여 Windows 운영 체제에서 비밀번호, 사용자 이름, 도메인 정보와 같은 민감한 정보를 추출하여 해커가 앱과 시스템에 무단으로 액세스하도록 유도할 수 있습니다.

다음은 미미캐츠 공격을 방지하기 위해 취할 수 있는 몇 가지 보안 조치입니다:

• 

  WDigest 비활성화 – WDigest는 비밀번호를 저장하므로 악용될 수 있는 기능입니다. 따라서 이 인증 프로토콜을 비활성화하면 해커가 사용자를 대상으로 미미캐츠 공격을 시작할 가능성을 줄일 수 있습니다. 공격자가 더 이상 이 취약점을 악용하여 비밀번호를 훔칠 수 없도록 레지스트리를 편집하여 WDigest를 비활성화하세요.
• 

  LSA 보호 – Windows는 LSA(로컬 보안 기관) 하위 시스템을 사용하여 사용자 계정과 원격 로그인의 유효성을 검사합니다. 해커는 이 서비스를 악용하여 비밀번호 및 Kerberos 티켓과 같은 암호화되지 않은 중요한 데이터에 액세스합니다. LSA 보호는 민감한 데이터에 대한 무단 액세스를 방지합니다. LSA 보호를 활성화하면 LSA 프로세스 및 데이터 구조에 대한 액세스를 제한하여 기밀 데이터에 대한 무단 액세스를 방지하므로 공격자가 미미캐츠 공격을 성공적으로 실행하기가 더 어려워집니다.
• 

  디버그 권한 제거. Windows 시스템은 관리자에게 시스템을 디버깅할 수 있는 권한을 부여합니다. 따라서 미미캐츠는 시스템 메모리에서 중요한 데이터를 탈취하기 위해 디버그 권한이 필요합니다. 사용자 계정에서 디버그 권한을 제거하면 공격자가 미미캐츠 공격을 수행하고 암호화된 로그인 데이터 및 기타 민감한 정보에 액세스할 수 있는 기능을 제한하는 데 도움이 될 수 있습니다.
• 

  자격 증명 캐싱. Windows는 향후 사용자 로그인 속도를 높이기 위해 로컬 시스템에 로그인 자격 증명을 기록합니다. 그러나 사이버 범죄자는 로컬 시스템에서 미미캐츠 공격을 실행하여 캐시된 자격 증명에 액세스할 수 있습니다. 자격 증명 캐싱을 비활성화하면 공격자가 저장된 자격 증명에 액세스하는 것을 방지하고 성공적인 미미캐츠 공격을 수행하기 더 어렵게 만들 수 있습니다.
• 

  시스템 최신 상태 유지 – Windows 보안, 운영 체제 및 모든 소프트웨어가 최신 보안 패치로 업데이트되어 있는지 확인하세요. 이렇게 하면 미미캐츠가 악용하는 취약점을 제거할 수 있습니다.
• 

  강력하고 고유한 비밀번호 사용 – 추측하거나 해독하기 어려운 강력하고 복잡하며 고유한 비밀번호를 사용하세요. 어떤 경우에도 “비밀번호” 또는 “123456”과 같은 비밀번호를 사용하지 마세요.
• 

  다단계 인증 활성화 – 다단계 인증(MFA)을 설정하여 계정과 시스템에 보안 계층을 추가하세요. 이렇게 하면 해커가 이미 로그인 자격 증명을 알고 있더라도 계정을 보호하는 데 도움이 됩니다.
• 

  권한이 필요한 액세스 – 회사의 사이버 보안 인프라에 권한이 있어야만 액세스할 수 있는 관리 시스템을 구현하면 시스템 액세스를 모니터링하고 제어하는 데 도움이 됩니다. 이를 통해 사이버 공격자가 시스템과 중요한 데이터에 대한 관리자 권한을 획득하는 것을 방지할 수 있습니다.
• 

  멀웨어 방지 소프트웨어 사용 – 안티멀웨어 소프트웨어를 설치하고 정기적으로 업데이트하면 미미캐츠를 사용하는 공격을 포함한 멀웨어 공격을 탐지하고 예방할 수 있습니다. 프리미엄 VPN인 NordVPN에는 바이러스 및 위협 방지 기능이 탑재되어 있어 브라우징 중 멀웨어를 실수로 다운 받을 가능성을 없애줍니다.
• 

  엔드포인트 보호. 엔드포인트에 무단 액세스는 데이터 유출의 주요 원인 중 하나입니다. 엔드포인트 탐지 및 대응(EDR) 툴 사용으로 실시간 모니터링을 구현하여 의심스러운 동작을 탐지하고, 위협 인텔리전스 피드를 활성화하세요.
• 

  이미 자격 증명이 유출되어 온라인에 돌아다니거나 다크 웹에서 거래되고 있다면 관건은 얼마나 빨리 이를 탐지하여 추가 해킹 공격에 이용되기 전에 삭제하는가 입니다. 이런 경우, 다크 웹 모니터링 기능이 도움이 될 수 있습니다. 개인의 로그인 정보가 유출되어 다크 웹에 돌아다니는 즉시 사용자에게 경고를 보냅니다.

이러한 보안 조치는 Mimikatz 공격 및 기타 사이버 위협으로부터 시스템을 안전하게 보호하는 데 도움이 될 수 있습니다. 하지만 가장 중요한 방어 체제는 경각심입니다. 공격이 발생한 후 후회하는 일이 없도록 미리 주의하여 피해를 피하시기 바랍니다.