GodDamn이라는 새로운 랜섬웨어 변종이 컴퓨터에서 무엇이 실행될지에 대해 바이러스 백신 소프트웨어가 최종 결정권을 쥐고 있다고 생각하는 사람이라면 누구나 우려할 만한 기법으로 헤드라인을 장식하고 있습니다. Dark Reading의 보도에 따르면, GodDamn의 배후 공격자들은 Microsoft 자체가 서명한 악성 커널 드라이버를 사용하여, 신뢰할 수 있는 디지털 인증서를 바로 막아야 할 보안 도구에 대한 무기로 바꾸고 있습니다. 이는 BYOVD(Bring Your Own Vulnerable Driver) 공격의 전형적인 사례로, 랜섬웨어 운영자의 플레이북에서 가장 신뢰할 수 있는 수법 중 하나로 자리 잡고 있습니다.

무슨 일이 있었나

GodDamn 랜섬웨어는 합법적인 Microsoft 서명이 포함된 커널 수준 드라이버를 배포하여 미국 기업들을 공격해 왔습니다. Windows는 서명된 드라이버를 신뢰하여 운영 체제 깊숙이에서 작동하도록 허용하기 때문에, 이 드라이버는 방어 체계를 통과하고 랜섬웨어 페이로드가 실행되기 전에 보안 소프트웨어를 종료할 수 있었습니다. 엔드포인트 보호가 비활성화되면 공격자는 파일을 암호화하고 네트워크 내에서 거의 탐지되지 않은 채로 이동할 수 있습니다. Microsoft가 애초에 이 드라이버에 서명했다는 사실이 가장 눈에 띄는 세부 사항입니다. 이는 악성 코드가 Windows의 결함을 악용할 필요 없이, 서명 프로세스 자체에 부여된 신뢰를 악용했다는 것을 의미합니다.

BYOVD가 보안 스택을 우회하는 방법

커널 드라이버는 Windows 머신에서 가장 높은 권한 수준으로 실행되며, 사실상 대부분의 바이러스 백신 및 엔드포인트 탐지 도구가 작동하는 계층보다 아래에 있습니다. 바로 그 때문에 공격자들이 이를 원하는 것입니다. 유효한 서명이 있는 드라이버는 서명되지 않았거나 알려지지 않은 실행 파일이 겪는 것과 동일한 정밀 검사를 촉발하지 않으므로, 조용히 로드된 다음 시스템에서 실행 중인 다른 보안 프로세스를 비활성화, 무력화, 종료하는 데 사용될 수 있습니다.

이는 기존의 바이러스 백신을 넘어 중요한 문제입니다. VPN 클라이언트 소프트웨어, DNS 필터링 도구, 기타 개인정보 보호 또는 보안 애플리케이션도 동일한 운영 체제에서 프로세스로 실행되므로, 이미 해당 수준의 통제권을 장악한 커널 수준 공격자에 의해 종료될 수 있는 동일한 취약점을 지닙니다. VPN은 트래픽을 암호화하고 특정 유형의 네트워크 스누핑을 방지하는 데 도움이 될 수 있지만, OS 수준에서 보안 소프트웨어를 비활성화하는 악성 드라이버를 막도록 설계된 적은 없습니다. 공격자가 커널 접근 권한을 획득하면 대부분의 소비자 및 기업용 보안 도구가 볼 수 없는 아래 영역에서 활동하게 되며, 이것이 바로 단일 도구에 의존하지 않고 계층화된 방어가 중요한 이유입니다.

BYOVD는 새로운 것이 아니지만, 현대적인 방어 체계를 상대로 매우 효과적이기 때문에 선호되는 기술이 되었습니다. 랜섬웨어 운영자들은 이 기능을 사전에 배포된 별도의 도구로 취급하기보다 점점 더 악성 코드에 직접 내장하고 있으며, 이는 공격 속도를 높이고 탐지를 더 어렵게 만듭니다. 현재 랜섬웨어 환경 전체에서 무언가 효과가 있는 것을 발견하면 공격자들이 빠르게 움직이는 광범위한 패턴이 나타나고 있습니다. 올해 초 SpaceBears가 프랑스 통신 사업자를 표적으로 삼은 사례에서 볼 수 있듯이, 갈취 그룹들은 중요 인프라를 빠르게 공격할 의사가 있음을 보여주었고, ShinyHunters가 NAIC를 상대로 주장한 사례와 같은 대규모 데이터 도난 작업은 초기 방어가 실패할 경우 얼마나 많은 데이터가 위험에 처하는지 보여줍니다.

기기 보안에 중요한 이유

GodDamn의 핵심 교훈은 랜섬웨어 자체에만 국한된 것이 아니라 신뢰 기반 보안 모델의 취약성에 관한 것입니다. 서명된 코드, 검증된 인증서, 공급업체 승인은 모두 안전함을 알리기 위한 것이지만, 공격자들은 바로 이러한 신호를 악용할 방법을 계속 찾아내고 있습니다. 속도 역시 한 요소입니다. 치명적인 cPanel 인증 우회 취약점이 공개된 후 공격자들이 신속하게 움직여 수만 대의 서버를 침해한 것과 마찬가지로, 랜섬웨어 조직은 악성 서명된 드라이버를 포함해 방어자보다 우위를 점할 수 있는 모든 기술을 신속하게 무기화합니다.

일반 사용자와 IT 관리자 모두에게 이는 간단한 점을 강조합니다. 바이러스 백신, VPN 또는 방화벽 중 하나만으로는 단독으로 충분하지 않다는 것입니다. 중층 방어, 즉 여러 겹의 보호막을 중첩하는 것이 공격자들이 특정 통제를 우회할 방법을 적극적으로 찾고 있는 상황에서 위험을 줄이는 가장 현실적인 방법으로 남아 있습니다.

이것이 의미하는 바

가정이나 비즈니스 환경에서 Windows 시스템을 관리하는 경우, GodDamn 랜섬웨어 캠페인은 드라이버 서명 적용, 엔드포인트 탐지 및 패치 관리를 최신 상태로 유지해야 함을 상기시켜 줍니다. Windows에는 악성으로 알려진 드라이버를 차단하는 메커니즘이 있으며, 공격자들은 오래된 차단 목록을 이용해 취약한 드라이버를 탐지망을 통과시키기 때문에 이러한 방어 체계를 최신 상태로 유지하는 것이 필수적입니다.

VPN은 특히 신뢰할 수 없는 네트워크에서 트래픽을 암호화하고 특정 형태의 감시에 대한 노출을 제한하는 데 있어 개인정보 보호 및 보안 도구 상자의 가치 있는 부분으로 남아 있지만, 정교한 멀웨어에 대한 완전한 방어 수단이 아니라 여러 계층 중 하나로 이해되어야 합니다. 평판이 좋은 VPN을 업데이트된 바이러스 백신 소프트웨어, 시기적절한 OS 패치, 다운로드 및 이메일 첨부 파일의 신중한 처리와 결합하면 단일 도구에 의존하는 것보다 훨씬 더 강력한 전반적인 보안 태세를 갖출 수 있습니다.

실천 가능한 조치

Windows와 모든 보안 소프트웨어를 완전히 최신 상태로 유지하세요. Microsoft는 이와 같은 격차를 메우기 위해 취약한 드라이버 차단 목록을 정기적으로 업데이트합니다. 지원되는 경우 Windows 보안 설정에서 메모리 무결성 및 코어 격리 기능을 활성화하세요. 이러한 기능은 BYOVD 공격을 더 어렵게 만들 수 있습니다. 중요한 데이터를 정기적으로 백업하고 사본을 오프라인으로 보관하여 랜섬웨어 암호화가 파일을 인질로 잡지 못하도록 하세요. VPN을 독립적인 방패가 아닌 광범위한 보안 전략의 일부로 취급하고, 엔드포인트 보호 및 안전한 브라우징 습관과 함께 사용하세요. 마지막으로, 새로운 BYOVD 및 랜섬웨어 기법에 대한 정보를 지속적으로 얻으세요. 공격자가 신뢰 기반 방어를 어떻게 우회하는지 이해하는 것이 이러한 격차가 도달하기 전에 메우는 첫 번째 단계이기 때문입니다.