기사 대표 이미지

오프닝



코드마스터입니다. 핵심부터 짚겠습니다. 최근 보안 업계에서 주목해야 할 매우 위험한 공격 패턴이 포착되었습니다. 단순히 이메일의 악성 링크를 클릭하게 만드는 기존의 피싱(Phishing) 수준을 넘어, 전화(Vishing)와 브라우저 취약점 공격을 결합하여 기업의 네트워크 전체를 장악하는 고도화된 사회공학적(Social Engineering) 공격이 등장했습니다.

이 공격의 무서운 점은 공격자가 사용자의 심리적 불안감을 이용한다는 것입니다. IT 지원팀을 사칭하여 전화를 걸고, 사용자의 브라우저를 강제로 종료시켜 혼란을 야기한 뒤, 마치 문제를 해결해 주는 것처럼 악성 도구 설치를 유도합니다. 이는 기술적 방어 체계뿐만 아니라 조직의 보안 프로세스 자체를 무력화하는 시도입니다.

특히 한국 기업들의 경우, 최근 클라우드 전환과 재택근무의 확산으로 인해 엔드포인트(Endpoint) 보안의 경계가 모호해진 상태입니다. 외부 네트워크에서 접속하는 직원의 단말기가 공격의 교두보가 될 수 있다는 점에서, 국내 보안 담당자들은 이 새로운 공격 벡터(Attack Vector)에 대해 매우 엄중하게 대응해야 합니다.

핵심 내용



이번에 발견된 공격의 메커니즘은 매우 정교한 단계를 거칩니다. 첫 번째 단계는 '전화'입니다. 공격자는 IT 지원팀이나 보안팀을 사칭하여 직원에게 전화를 겁니다. 이때 사용자의 브라우저를 의도적으로 크래시(Crash, 강제 종료)시키는 기술적 트릭을 병행합니다. 브라우저가 갑자기 멈추거나 꺼지면 사용자는 시스템에 문제가 생겼다고 판단하게 되고, 이때 등장하는 '도와주겠다'는 IT 직원의 제안은 거부하기 힘든 유혹이 됩니다.

두 번째 단계는 '악성 도구 설치'입니다. 사용자는 문제를 해결하기 위해 공격자가 안내하는 특정 도구를 설치하게 됩니다. 이 도구의 정체는 바로 'Havoc'이라 불리는 강력한 포스트 익스플로잇(Post-Exploitation) 프레임워크입니다. Havoc은 단순한 악성코드를 넘어, 공격자가 타겟 시스템에 침투한 후 명령 및 제어(C2, Command and Control)를 수행할 수 있게 해주는 모듈형 도구입니다.

이 과정을 비유하자면, 도둑이 경비원에게 전화를 걸어 "건물에 화재 경보가 잘못 울렸으니 점검을 위해 보안 카드를 잠시 빌려달라"고 속인 뒤, 경비원이 건네준 점검용 도구를 통해 건물의 모든 마스터키를 복제해 가는 것과 같습니다. 일단 Havoc이 설치되면, 공격자는 해당 단말기를 통해 기업 내부 네트워크의 구조를 파악하고 확산을 시작할 수 있습니다.

심층 분석



기술적인 관점에서 볼 때, 이번 공격은 기업의 현대적인 IT 아키텍처(Architecture)를 정밀하게 타격하고 있습니다. 과거의 보안이 네트워크 경계(Perimeter)를 지키는 것에 집중했다면, 이제는 공격자가 이미 내부로 들어와 있다고 가정하는 제로 트러스트(Zero Trust) 모델이 필수적인 이유가 바로 여기에 있습니다. 공격자는 일단 단말기 하나를 장악한 후, 네트워크 내부의 컨테이너(Container) 환경이나 마이크로서비스(Microservices) 구조를 탐색하며 더 큰 권한을 가진 자원을 찾아냅니다.

특히 주목해야 할 점은 '레거시(Legacy) 시스템'에 대한 위협입니다. 최신 클라우드 환경은 보안 패치가 비교적 신속하게 이루어지지만, 여전히 기업 내부에는 업데이트가 중단된 오래된 시스템들이 존재합니다. 공격자는 Havoc을 통해 확보한 권한으로 이러한 레거시 시스템을 찾아내어, 보안이 취약한 틈을 통해 네트워크 전체로 침투 범위를 넓히는 측면 이동(Lateral Movement)을 수행합니다.

이러한 공격이 성공할 경우, 기업이 보장해야 하는 SLA(Service Level Agreement, 서비스 수준 협약)는 완전히 무너집니다. 데이터 유출은 물론, 시스템 가동 중단으로 인한 막대한 경제적 손실이 발생하기 때문입니다. 기존의 이메일 필터링이나 방화한(Firewall)만으로는 이러한 '인간의 심리'를 이용한 하이브리드 공격을 막기에 역부족입니다.

여기서 독자 여러분께 질문을 던지고 싶습니다. 여러분의 조직은 만약 직원이 "IT팀에서 전화가 왔는데 브라우저가 자꾸 꺼집니다"라고 보고할 경우, 이를 검증할 수 있는 별도의 인증 프로세스를 갖추고 있습니까? 단순한 신뢰를 넘어선 검증 체계가 준비되어 있습니까?

실용 가이드



기업 보안 담당자 및 IT 관리자를 위한 대응 체크리스트를 제안합니다.

1. 신원 확인 프로세스의 이중화 (Out-of-band Verification): IT 지원팀의 요청이 있을 경우, 반드시 사전에 약속된 별도의 채널(예: 사내 메신저, 공식 티켓 시스템)을 통해 요청의 진위 여부를 확인하는 절차를 수립하십시오. 전화 한 통으로 권한을 요구하는 행위는 절대 금기 사항으로 규정해야 합니다. 2. 엔드포인트 탐지 및 대응(EDR) 강화: 브라우저의 비정상적인 크래시나 Havoc 프레임워크와 유사한 패턴의 프로세스 실행을 즉각 탐지할 수 있도록 EDR 솔루션의 룰셋을 업데이트하십시오. 특히 프로세스 인젝션(Process Injection)과 같은 행위를 집중 모니터링해야 합니다. 3. 사회공학적 공격 대응 교육: 임직원들에게 Vishing(보이스 피싱) 사례를 공유하고, 기술적 문제 발생 시 공식적인 절차를 통해서만 지원을 요청하도록 교육하십시오. 보안은 기술뿐만 아니라 '문화'입니다. 4. CI/CD 파이프라인 보안 검증: 만약 개발 환경이 침해될 경우, 악성 코드가 빌드 단계에 삽입될 위험이 있습니다. 공급망 공격(Supply Chain Attack)을 방지하기 위해 코드 서명 및 빌드 아티팩트에 대한 무결성 검증을 강화하십시오.

필자의 한마디



공격자들은 점점 더 똑똑해지고 있으며, 그들의 무기는 소프트웨어뿐만 아니라 인간의 '신뢰'라는 심리적 약점입니다. 기술적 방어벽을 아무리 높게 쌓아도, 내부 구성원이 문을 열어준다면 무용지물입니다. 보안의 패러다임은 이제 '기술적 방어'에서 '검증 가능한 프로세스'로 이동해야 합니다.

앞으로의 보안 트렌드는 더욱 파편화된 환경(Multi-cloud, Edge computing)을 대상으로 한 정밀 타격형 공격이 주를 이룰 것으로 보입니다. 이에 대응하기 위해 우리는 더 촘촘한 가시성을 확보해야 합니다.

실무 관점에서 결론은 명확합니다. 댓글로 여러분의 조직 내 보안 대응 경험이나 의견을 남겨주세요. 코드마스터였습니다.

출처: "https://www.techradar.com/pro/security/what-begins-as-a-phone-call-from-it-support-ends-with-a-fully-instrumented-network-compromise-this-fake-tech-support-scam-tricks-employees-into-infecting-their-own-company-devices"