기사 대표 이미지

신뢰할 수 있는 서명의 역설: 보안 솔루션을 속이는 새로운 공격 패턴



최근 Microsoft는 디지털 서명이 포함된 악성코드가 원격 모니터링 및 관리(RMM) 도구를 악용하여 시스템에 침투하는 새로운 위협을 경고했습니다. 이번 공격의 핵심은 공격자가 유효한 디지털 서명을 사용하여 보안 소프트웨어의 탐지를 우회하고, 시스템 내에서 합법적인 관리 도구처럼 행동한다는 점에 있습니다.



1. 공격 메커니즘 분석: 어떻게 보안망을 뚫는가?

이번 공격의 가장 무서운 점은 '정상적인 도구의 무기화'입니다. 공격자는 다음과 같은 단계로 공격을 진행합니다.

  • 서명된 악성코드 배포: 유효한 인증서로 서명된 악성코드를 유포하여, 백신이나 EDR 솔루션이 이를 '신뢰할 수 있는 파일'로 오인하게 만듭니다.
  • RMM 도구 침투: 시스템에 침투한 후, IT 관리자들이 사용하는 합법적인 RMM(Remote Monitoring and Management) 도구를 다운로드하거나 실행합니다.
  • 지속성 및 권한 확보: 설치된 RMM 도구는 시스템 관리자 권한으로 동작하며, 공격자에게 원격 제어 권한을 제공하는 통로가 됩니다.


2. 왜 기존 방식으로는 막기 어려운가?

전통적인 보안 방식은 파일의 '지문(Hash)'이나 '서명(Signature)'을 기반으로 악성 여부를 판단합니다. 그러나 이번 사례처럼 디지털 서명이 유효한 경우, 보안 솔루션은 이를 위협이 아닌 정상적인 소프트웨어 업데이트나 관리 도구 설치로 인식하게 됩니다. 이는 탐지 엔진의 논리적 허점을 파고드는 매우 정교한 기법입니다.



3. 기업 및 관리자를 위한 대응 가이드라인

이러한 고도화된 위협에 대응하기 위해서는 단순한 패턴 매칭을 넘어선 다각도의 방어 전략이 필요합니다.



A. 행위 기반 탐지(Behavioral Analysis) 도입

파일의 정적 상태가 아닌, 실행 중 발생하는 비정인 프로세스 생성, 비정상적인 네트워크 통신, 갑작스러운 권한 상승 등의 행위 패턴을 분석하는 EDR(Endpoint Detection and Response) 도입이 필수적입니다.



B. 화이트리스트 기반 실행 제어

사전에 승인되지 않은 소프트웨어 및 도구의 실행을 차단하는 Application Control 정책을 강화해야 합니다. 특히, 관리자용 도구(PowerShell, PsExec 등)의 무분별한 사용을 제한해야 합니다.



C. 제로 트러스트(Zero Trust) 모델 적용

'아무도 믿지 말고 항상 검증하라'는 원칙에 따라, 내부 네트워크 내에서의 이동(Lateral Movement)을 방지하기 위해 네트워크 세분화(Micro-segmentation)와 강력한 인증 절차를 적용해야 합니다.



결론: 공격자는 점점 더 합법적인 도구를 악용하는 방식으로 진화하고 있습니다. 이제 보안의 초점은 '무엇이 악성인가'를 찾는 것에서 '무엇이 허용된 행위인가'를 검증하는 것으로 이동해야 합니다.