touch -m -d 명령어 분석: 사용자, 해커, 보안 분석자 관점에서 보기

 

touch -m -d 명령어 분석: 사용자, 해커, 보안 분석자 관점에서 보기

 

📌 명령어 소개

touch -m -d "2025-06-19 19:10:12" .config.exec.php는 리눅스에서 파일의 수정 시간(mtime)을 지정된 시간으로 변경하는 명령어입니다.

• -m: 수정 시간(mtime)만 변경
• -d: 날짜 및 시간 지정
• .config2.php: 대상 파일

 

👤 일반 사용자 관점

백업 파일 관리, 테스트 자동화 등의 목적으로 파일의 수정 시간을 조정할 수 있습니다. 예를 들어 오래된 백업 파일처럼 보이게 하거나, 정렬 기준을 맞출 때 유용합니다.

 

🛑 사이버 공격자 관점

공격자는 웹쉘이나 악성 스크립트를 서버에 업로드한 후, 타임스탬프를 변경하여 관리자나 보안 솔루션의 탐지를 회피할 수 있습니다. 파일이 예전부터 존재한 것처럼 위장하기 위한 기술입니다.

 

🔍 침해사고 분석자 관점

이 명령이 로그에서 발견되면, 시스템 위변조 가능성이 있으므로 의심 파일 목록에 포함하여 디지털 포렌식 조사를 수행해야 합니다. 특히 웹 서버 환경에서는 웹쉘 의심 파일일 수 있습니다.

 

🛡️ EDR/XDR 관점에서의 대응

• 이상 징후 탐지: EDR은 touch 명령 사용 및 타임스탬프 조작 관련 로그를 실시간 감시하고 경고를 생성할 수 있습니다.
• 행위 기반 탐지: touch 사용 직후 특정 파일 실행 또는 외부 통신이 발생하는 경우 XDR 연계로 공격 흐름 전체 파악이 가능합니다.
• 자동 차단 정책: 특정 디렉터리(.php 포함)에서 수동 타임스탬프 변경 시 행위 차단 또는 관리자 승인 필요 설정 가능
• 위협 인텔리전스 연계: 공격자가 사용하는 동일 명령 패턴이 위협 피드에 존재할 경우 탐지 강화

 

✅ 결론 및 대응 방안

• 운영 서버에 대한 touch 명령 사용을 기록(log)하거나 제한
• 타임스탬프 위조 방지를 위한 무결성 모니터링 도입
• 정기적인 파일 변경 이력 점검 및 검증
• EDR/XDR을 통한 touch 명령 탐지 및 자동 대응 체계 구축

 

💡 보안은 타이밍이다! 단순한 명령어도 보안 위협으로 발전할 수 있습니다. 정기적인 점검과 사용자 교육이 중요합니다.

 

 ※ timestamp : 타임스탬프(Timestamp)는 디지털 시스템에서 파일, 로그, 이벤트 등이 발생한 날짜와 시간 정보를 기록한 데이터입니다. 운영체제, 데이터베이스, 보안 시스템 등 거의 모든 컴퓨터 시스템에서 중요한 추적 기준으로 사용됩니다. 자세히알아보기