사이버 보안

VENOMOUS#HELPER 피싱 캠페인, RMM 도구를 통해 미국 80개 이상 조직 공격

2026년 5월 5일4분 읽기

By 마커스 웨버 — CISSP 인증, 사이버보안 저널리즘 12년

VENOMOUS#HELPER 피싱 캠페인, RMM 도구를 통해 미국 80개 이상 조직 공격

눈앞에 숨어있는 피싱 캠페인

VENOMOUS#HELPER로 알려진 정교한 피싱 캠페인이 미국 전역 80개 이상의 조직을 침해했으며, 특히 우려스러운 점은 공격자들이 직접 제작한 도구가 아니라 기존에 존재하던 도구를 악용했다는 사실이다. 이 캠페인은 합법적인 원격 모니터링 및 관리(RMM) 소프트웨어, 구체적으로 SimpleHelp와 ScreenConnect를 악용하여 피해자 네트워크 내부에 지속적인 원격 접근을 확보한다.

RMM 도구는 IT 부서와 관리형 서비스 제공업체가 엔드포인트를 원격으로 진단하고, 업데이트하고, 관리하기 위해 널리 사용한다. 이 도구들은 기업 보안 필터에서 신뢰받기 때문에, 일반적인 네트워크 트래픽에 섞여들길 원하는 공격자들에게 매력적인 수단이 된다. VENOMOUS#HELPER는 이러한 신뢰를 최대한 활용한다.

공격 체인은 피해자를 침해된 비즈니스 웹사이트로 유도하는 피싱 이메일로 시작된다. 실제로 이전에는 정상적이었던 도메인을 사용함으로써, 미지의 사이트나 새로 등록된 사이트를 차단하는 이메일 보안 필터와 웹 평판 검사를 회피할 수 있다. 피해자가 악성 콘텐츠와 상호작용하면 RMM 소프트웨어가 자동으로 설치되어, 재부팅이나 엔드포인트 스캔, 심지어 일부 보안 도구 배포에서도 살아남을 수 있는 지속적인 거점이 마련된다.

RMM 소프트웨어가 취약점이 되는 방식

VENOMOUS#HELPER가 드러낸 핵심 문제는 SimpleHelp나 ScreenConnect 자체가 본질적으로 안전하지 않다는 것이 아니다. 이 제품들은 매일 수천 개의 합법적인 IT 팀이 사용하는 신뢰할 수 있는 솔루션이다. 문제는 공격자들이 이 도구들을 유용하게 만드는 바로 그 기능들, 즉 경량 설치, 지속적인 연결성, 네트워크 내 피벗 기능을 무기화하는 방법을 터득했다는 점이다.

일단 설치되면 RMM 에이전트는 일반적으로 많은 방화벽이 기본적으로 허용하는 표준 웹 포트를 통해 외부와 통신한다. 이는 불법 RMM 세션을 제어하는 공격자가 인접 시스템으로 측면 이동하거나, 데이터를 유출하거나, 추가 악성코드를 배포할 수 있음을 의미하며, 이 모든 활동이 네트워크 모니터링 대시보드에서는 일상적인 IT 작업처럼 보인다.

침해된 서드파티 웹사이트를 전달 메커니즘으로 사용하는 것은 방어자들에게 또 다른 어려움을 더한다. 알 수 없는 도메인이나 서명되지 않은 실행 파일을 표시하는 것과 같은 전통적인 침해 지표는, 페이로드가 보안 도구가 이미 양성으로 분류한 사이트에서 도착할 때 효과가 떨어진다.

이것이 당신에게 의미하는 바

개인, 특히 원격이나 하이브리드 환경에서 근무하는 사람들에게 이 캠페인은 고용주가 업무 기기를 관리하는 데 사용하는 소프트웨어가 제대로 관리되지 않을 경우 실질적인 위험을 초래한다는 점을 상기시켜준다. RMM 도구는 일반적으로 높은 권한으로 실행된다. 공격자가 해당 채널을 제어하게 되면 사용자의 기기와 그 안에 있는 파일 및 자격 증명에 광범위하게 접근할 수 있다.

이것이 당장 패닉할 이유는 아니지만, 질문을 해야 할 이유는 충분하다. 직원들은 자신의 기기에 어떤 원격 접근 소프트웨어가 설치되어 있는지, 누가 세션을 시작할 수 있는지, 그리고 해당 세션이 기록되고 감사 가능한지를 알 정당한 권리가 있다. 책임감 있는 고용주라면 이 세 가지 질문에 명확하게 답할 수 있어야 한다.

조직의 경우, VENOMOUS#HELPER는 제로 트러스트 원칙이 실제로 왜 중요한지를 잘 보여준다. 제로 트러스트 아키텍처는 신뢰할 수 있는 도구나 알려진 IP 주소에서 발생하는 트래픽이 자동으로 안전하다고 가정하지 않는다. 모든 세션, 모든 접근 요청, 모든 측면 연결이 검증된다. 다중 인증 및 네트워크 세분화와 결합하면, 이 방식은 공격자가 초기 거점을 확보한 이후에도 할 수 있는 행동을 크게 제한한다.

기업 네트워크 내 VPN 사용도 여기서 역할을 한다. 원격 근무자와 내부 리소스 간의 암호화된 터널은 민감한 트래픽이 도청에 노출되는 것을 줄이고, RMM 기반 공격자가 극복해야 하는 일관된 인증 체크포인트를 만들어낸다.

실행 가능한 핵심 사항

개인 직원이든 조직 보안을 책임지든, VENOMOUS#HELPER가 드러낸 사실에 대응하여 취할 수 있는 구체적인 조치들이 있다.

개인의 경우:

IT 부서에 업무용 기기에 설치된 RMM 소프트웨어가 무엇인지 문의하고, 원격 세션이 어떻게 시작되고 기록되는지에 대한 서면 정책을 요청하라.
익숙하거나 전문적으로 보이는 사이트라도 외부 웹사이트로 유도하는 이메일에는 주의하라.
명확한 사전 요청 없이 소프트웨어를 설치하거나 높은 권한을 요청하는 모든 것을 신고하라.

조직의 경우:

배포된 모든 RMM 도구를 감사하고, 알려진 구성을 가진 승인된 버전만 엔드포인트에 존재하는지 확인하라.
RMM 소프트웨어가 승인된 벤더 인프라 외부의 서버와 통신하지 못하도록 제한하라.
애플리케이션 허용 목록을 구현하여 승인되지 않은 RMM 에이전트가 실행되는 것을 방지하라.
특히 외부 벤더와 협력하는 직원들을 대상으로 피싱 시뮬레이션을 일회성 훈련이 아닌 지속적인 프로그램으로 운영하라.

VENOMOUS#HELPER는 공격자들이 현대 IT 환경에 어떻게 적응하는지를 보여주는 유용한 사례 연구다. 보안 도구와 직접 싸우는 대신, 신뢰받는 소프트웨어를 위장 수단으로 활용하는 방법을 찾아낸다. 최선의 방어는 계층화된 접근 방식이다: 의심하는 습관을 가진 사용자, 엄격한 네트워크 정책, 그리고 침해가 언제든지 가능하다고 가정하는 보안 아키텍처가 그것이다.

// FAQ

VENOMOUS#HELPER 캠페인이란 무엇인가?

VENOMOUS#HELPER는 미국 전역 80개 이상의 조직을 침해한 정교한 피싱 캠페인이다. 합법적인 원격 모니터링 및 관리 소프트웨어, 구체적으로 SimpleHelp와 ScreenConnect를 악용하여 피해자 네트워크 내부에 지속적인 원격 접근을 확보한다.

공격은 어떻게 시작되는가?

공격 체인은 실제로 이전에는 정상적이었던 도메인을 사용하여 피해자를 침해된 비즈니스 웹사이트로 유도하는 피싱 이메일로 시작된다. 피해자가 악성 콘텐츠와 상호작용하면 RMM 소프트웨어가 기기에 자동으로 설치된다.

이 캠페인에서 RMM 도구가 공격자에게 특히 유용한 이유는 무엇인가?

RMM 도구는 기업 보안 필터에서 신뢰받으며 많은 방화벽이 기본적으로 허용하는 표준 웹 포트를 통해 외부와 통신하기 때문에, 공격자들이 일반적인 네트워크 트래픽에 섞여들 수 있다. 경량 설치, 지속적인 연결성, 네트워크 피벗 기능을 포함한 이 도구들의 특성이 악의적인 목적에도 효과적으로 활용된다.

방어자가 이 캠페인을 탐지하기 어려운 이유는 무엇인가?

이 캠페인은 보안 도구가 이미 양성으로 분류한 침해된 서드파티 웹사이트를 사용하기 때문에 전통적인 침해 지표가 효과를 발휘하지 못한다. 또한 악성 활동이 네트워크 모니터링 대시보드에서 일상적인 IT 작업처럼 보인다.

이 캠페인이 개인 직원에게 어떤 위험을 초래하는가?

RMM 도구는 일반적으로 높은 권한으로 실행되기 때문에, 공격자가 해당 채널을 제어하게 되면 피해자의 기기에 파일과 자격 증명을 포함하여 광범위하게 접근할 수 있다. 원격이나 하이브리드 환경에서 근무하는 직원들이 특히 위험에 노출된 것으로 강조된다.