메두사 랜섬웨어 조직, 도난 인증서로 서명된 악성 드라이버 악용해 보안 우회 공격

“BYOVD 방식이 매우 위협적인 이유, 운영체제가 서명된 드라이버를 신뢰하는 구조를 악용하기 때문”

메두사(Medusa) 랜섬웨어 서비스형(RaaS) 운영자들이 도난된 인증서로 서명된 악성 드라이버를 활용해 엔드포인트 보안 솔루션을 우회하는 정교한 공격 수법을 사용하고 있는 것으로 나타났다.

보안 전문가들은 이 방식이 최근 확산되고 있는 'BYOVD(Bring Your Own Vulnerable Driver)' 기법의 일환이라고 분석했다. 공격자는 서명된 취약 드라이버를 직접 시스템에 설치해 보안 기능을 무력화하고 랜섬웨어를 성공적으로 실행시키는 전략을 취하고 있다.

엘라스틱 시큐리티 랩스에 따르면, 최근 분석된 메두사 랜섬웨어 공격에서는 암호화 페이로드가 'HeartCrypt'라는 패커 서비스(Packer-as-a-Service)를 통해 로딩됐다. 이와 함께 ABYSSWORKER라는 이름의 악성 드라이버가 함께 설치됐는데, 이는 중국 소프트웨어 업체의 폐기된 인증서를 도용해 서명된 것으로 확인됐다.

이 악성 드라이버의 파일명은 ‘smuol.sys’이며, 보안솔루션인 크라우드스트라이크 팔콘(CrowdStrike Falcon) 드라이버 ‘CSAgent.sys’를 위장한 형태로 작동한다. 연구진은 이 드라이버가 지난 2024년 8월부터 2025년 2월까지 다수의 변종이 바이러스토탈에 업로드된 것을 확인했으며, 이들 모두가 도난되었거나 폐기된 인증서를 사용해 서명됐다고 밝혔다.

ABYSSWORKER는 시스템에 설치된 후, 프로세스 보호 목록에 자신을 등록하고 커널 수준에서 입출력 제어 요청(IOCTL)을 수신한다. 이 드라이버는 파일 삭제, 복사, 시스템 스레드 종료, 프로세스 및 스레드 종료, 보안 모듈 비활성화 등 다양한 기능을 수행할 수 있으며, 특히 보안 제품이 등록한 커널 콜백을 제거해 안티바이러스 및 EDR(Endpoint Detection and Response) 시스템을 사실상 ‘눈멀게’ 만든다.

이러한 커널 콜백 제거 기법은 기존에도 EDR 무력화 도구인 EDRSandBlast, RealBlindingEDR 등에서 사용된 바 있다. 이번 ABYSSWORKER도 동일한 방식으로 동작하며, 보안 제품의 감시 기능을 제거해 공격자의 활동을 숨길 수 있도록 돕는다.

엘라스틱은 이 드라이버가 EDR 무력화에 특화된 기능을 갖추고 있으며, 지난 1월에는 컨넥트와이즈(ConnectWise)가 해당 드라이버를 'nbwdv.sys'라는 이름으로 보고한 바 있다고 덧붙였다. 이처럼 BYOVD 기법은 보안 제품이 정상적인 드라이버로 오인하도록 만들어 탐지를 회피하는 데 효과적이다.

이와 유사한 사례로, 보안업체 베낙시큐리티는 최근 체크포인트 ZoneAlarm 백신 제품에서 사용됐던 ‘vsdatant.sys’ 드라이버가 공격자에 의해 악용됐다고 밝혔다. 해당 드라이버는 과거에 사용되던 커널 드라이버로, 이를 통해 공격자는 시스템에서 높은 권한을 확보하고, 윈도우의 메모리 무결성 기능을 비활성화한 후 원격 데스크톱 프로토콜(RDP)을 통해 시스템에 상시 접속할 수 있도록 만들었다.

이후 공격자는 피해자의 비밀번호 등 민감한 자격 증명을 탈취하고 외부 서버로 유출했다. 이에 대해 체크포인트 측은 해당 드라이버는 더 이상 사용되지 않으며, 현재 배포 중인 ZoneAlarm과 하모니 엔드포인트 제품에는 최신 보안 기능이 적용돼 있어 해당 취약점에 영향을 받지 않는다고 설명했다. 최근 8년 내에 출시된 모든 제품은 이 취약점으로부터 안전하다는 것이 업체 측의 설명이다.

한편, 또 다른 랜섬웨어 조직인 랜섬허브(일명 Greenbottle 또는 Cyclops)는 최근 ‘Betruger’라는 새로운 백도어를 사용하는 정황이 포착됐다. 이 백도어는 스크린샷 촬영, 키로깅, 네트워크 스캔, 권한 상승, 자격 증명 덤프, 데이터 유출 등 공격 사전 단계에서 필요한 기능을 대부분 포함하고 있어, 별도의 공격 도구 설치 없이 랜섬웨어 준비 작업을 효율적으로 수행할 수 있도록 설계됐다. 보안기업 시만텍은 이 백도어가 기존의 미미카츠(Mimikatz)나 코발트 스트라이크(Cobalt Strike) 같은 공개 도구 대신 자체 개발된 도구를 활용하는 방식으로, 탐지를 회피하려는 공격자의 전략적 변화로 보인다고 설명했다.

보안 전문가들은 BYOVD 방식이 매우 위협적인 이유로, 운영체제가 서명된 드라이버를 신뢰하는 구조를 악용하기 때문이라고 지적한다. 특히 도난되었거나 폐기된 인증서로 서명된 드라이버가 여전히 시스템에 의해 로딩될 수 있는 점은 심각한 보안 사각지대가 될 수 있다.

이에 따라, 보안 강화를 위해서는 단순히 서명을 확인하는 것에 그치지 않고 드라이버의 행위를 분석하는 EDR 또는 XDR 솔루션을 도입하는 것이 중요하다. 또한 윈도우에서 제공하는 '드라이버 블록리스트'나 '메모리 무결성(HVCI)' 기능을 활성화하고, 최신 버전의 보안 소프트웨어 및 드라이버를 유지하는 것이 필수적이다. 아울러 기업 환경에서는 드라이버 설치 권한을 제한하고, 커널 레벨에서 발생하는 이상 행위를 지속적으로 모니터링해야 한다고 강조했다.

[K-CTI 2025] 국내 최대 사이버위협·침해사고대응 인텔리전스 컨퍼런스 개최(7시간 교육이수)

-주최: 데일리시큐

-일시 2025년 4월 15일(화) / 오전 9시~오후 5시

-장소: 한국과학기술회관 국제회의실 및 로비

-인원: 정보보호 실무자 700여 명(현업 보안책임자/실무자만 참석 가능)

-참가비: 현업 보안실무자는 무료

-교육이수: 공무원 및 일반기업 보안교육 7시간/CPPG, CISSP 등 교육이수 7시간 인정

-등록마감: 2025년 4월 13일 오후 5시까지

-참석불가: 학생, 프리랜서, 무소속, 정보보호 업무와 상관없는 자는 참석불가

-참관 및 참가기업 문의: 데일리시큐 길민권 기자 / mkgil@dailysecu.com

-사전등록 필수: 클릭

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★