진저맨 랜섬웨어의 EDR 킬러 도구, 방어 체계 무력화 전략 분석

최근 보안 업계에서 주목받고 있는 진저맨(Gentlemen) 랜섬웨어 그룹이Endpoint Detection and Response(EDR) 시스템을 무력화하기 위한 맞춤형 도구들을 적극 활용하고 있습니다. 이 그룹은 'GentleKiller'라는 자체 개발 EDR 킬러를 중심으로 최소 8개 이상의 변종을 운영하며, 공격 초기 단계에서 보안 방어 체계를 무력화하는 전략을 구사하고 있습니다. 특히 BYOVD(Bring Your Own Vulnerable Driver) 기법을 활용해 커널 수준의 권한을 획득하고, 보안 엔진을 중단시키는 방식으로 동작합니다. 이 도구들은 상용 패킹 도구인 에니그마(Enigma)와 테미다(Themida)로 보호되며, 유효하지 않은 디지털 서명까지 도용하는 등 다양한 우회 기술을 결합하고 있습니다. 진저맨의 이러한 전략은 기존 랜섬웨어 공격과 어떻게 다른지, 그리고 기업 및 보안 담당자들이 주목해야 할 대책은 무엇인지 자세히 살펴보겠습니다.

랜섬웨어 공격의 새로운 무기, EDR 킬러의 등장 배경

EDR 시스템은 기업 환경에서 보안 위협을 실시간으로 탐지하고 대응하는 핵심 기술로 자리 잡았습니다. 그러나 최근 랜섬웨어 그룹들은 이러한 방어 체계를 무력화하기 위한 맞춤형 도구들을 개발하고 있습니다. 진저맨 그룹의 GentleKiller는 이러한 EDR 킬러의 대표적인 사례로, 공격자들이 보안 솔루션을 우회하고 랜섬웨어payload를 원활히 실행할 수 있도록 설계되었습니다.

GentleKiller는 주로 공격 초기 단계에서 사용되며, 시스템에 대한 커널 수준의 접근 권한을 획득한 후 보안 프로세스를 중단시킵니다. 이 도구는 400개가 넘는 보안 관련 프로세스를 대상으로 하며, 마이크로소프트, 크라우드스트라이크, 센티널원, 팔로앨토, 소포스, 트렌드마이크로, ESET, 비트디펜더, 맥아피/트렐릭스, 카스퍼스키 등 약 48개 보안 제품의 프로세스를 타겟으로 삼습니다. 이러한 광범위한 공격 범위는 진저맨 그룹이 다양한 보안 환경에서 효과적으로 공격을 수행할 수 있도록 지원합니다.

또한, GentleKiller는 상용 코드 보호 도구인 에니그마와 테미다로 패킹되어 분석을 어렵게 만들고, 유효하지 않은 디지털 서명을 도용해 정상적인 소프트웨어로 위장하는 등 다층적인 방어 우회 기술을 사용합니다. 이는 보안 연구자들이 이 도구의 동작 원리를 분석하는 데 어려움을 겪게 만들며, 실제 공격 환경에서 더 높은 성공률을 확보할 수 있도록 돕습니다.

BYOVD 기법과 커널 권한 획득의 위험성

진저맨 그룹의 EDR 킬러가 주목받는 주요 이유는 BYOVD 기법을 적극 활용한다는 점입니다. BYOVD는 취약한 드라이버를 악용해 시스템의 커널 권한을 획득하는 기법으로, 악성 코드가 시스템의 핵심 영역에 접근할 수 있도록 허용합니다. GentleKiller를 포함한 진저맨의 EDR 킬러들은 이러한 기법을 통해 시스템의 보안 엔진을 무력화하고, 랜섬웨어payload를 안전하게 실행할 수 있는 환경을 조성합니다.

각 GentleKiller 변종은 서로 다른 취약한 드라이버를 사용하지만, 동일한 코드 난독화 기법과 프로세스 중단 로직을 공유합니다. 이는 진저맨 그룹이 새로운 취약점을 빠르게 무장화할 수 있는 유연한 프레임워크를 보유하고 있음을 시사합니다. 또한, 이러한 드라이버 교체가 용이한 구조는 보안 업계가 새로운 취약점에 대응하는 속도를 앞지르는 공격자들의 전략을 보여줍니다.

BYOVD 기법의 위험성은 단순히 EDR 시스템을 무력화하는 데 그치지 않습니다. 시스템의 커널 권한을 획득한 악성 코드는 파일 시스템, 레지스트리, 그리고 기타 핵심 시스템 구성 요소에 광범위한 변경을 가할 수 있습니다. 이는 공격자가 시스템을 완전히 장악할 수 있는 가능성을 열어주며, 추후 지속적인 공격이나 데이터 탈취로 이어질 수 있습니다. 특히, 이러한 공격은 전통적인 보안 솔루션으로는 탐지 및 차단이 어려운 경우가 많아, 기업의 보안 담당자들은 새로운 대응 전략을 모색해야 합니다.

GentleKiller 외 다양한 EDR 킬러 도구의 조합 공격

진저맨 그룹은 GentleKiller 외에도 최소 세 가지 이상의 외부 EDR 킬러 도구를 활용하고 있습니다. 이러한 도구들은 공격의 복잡성을 높이고, 보안 연구자들에게 공격의 출처를 추적하는 데 어려움을 초래하기 위해 사용됩니다. 외부 도구는 GentleKiller의 한계점을 보완하거나, 특정 보안 솔루션 환경에서 더 높은 효과를 발휘할 수 있도록 설계되었습니다.

예를 들어, OxideHarvest라는 러스트 기반의 도구는 크리덴셜 스틸링 기능을 갖추고 있어, 공격자가 시스템 내부의 인증 정보를 탈취할 수 있도록 지원합니다. 이러한 크리덴셜 스틸링은 공격자가 네트워크 내부로 lateral movement(수평 이동)를 수행하거나, 추가적인 시스템을 장악하는 데 사용될 수 있습니다. 또한, 이러한 도구들은 공격의 자동화와 효율성을 높이는 데 기여하며, 진저맨 그룹이 대규모로 공격을 수행할 수 있도록 지원합니다.

이러한 다중 도구 조합 공격은 보안 담당자들에게 새로운 도전 과제를 제시합니다. 각 도구가 서로 다른 기능을 수행하고, 공격의 각 단계에서 다른 역할을 맡기 때문에, 단일 솔루션만으로는 모든 위협을 탐지하고 차단하는 것이 불가능에 가깝습니다. 따라서, 기업들은 다층적인 보안 전략을 구축하고, 지속적인 모니터링과 위협 인텔리전스를 통해 이러한 복합적인 공격을 방어할 수 있는 능력을 키워야 합니다.

보안 솔루션의 한계와 새로운 위협의 진화

EDR 시스템을 비롯한 기존 보안 솔루션들은 진저맨 그룹의 EDR 킬러와 같은 맞춤형 공격에 취약한 면모를 보이고 있습니다. 이러한 솔루션들은 대부분 signature-based detection(시그니처 기반 탐지) 또는 behavior-based detection(행동 기반 탐지)을 기반으로 동작하며, 커널 수준의 공격을 탐지하는 데 한계가 있습니다. 특히, BYOVD 기법을 활용한 공격은 시스템의 핵심 영역을 장악하기 때문에, 전통적인 보안 솔루션으로는 탐지 및 차단이 어려운 경우가 많습니다.

또한, GentleKiller와 같은 도구들은 코드 난독화와 패킹 기술을 통해 분석을 어렵게 만들고, 유효하지 않은 디지털 서명을 도용해 정상적인 소프트웨어로 위장합니다. 이는 보안 연구자들이 이러한 도구들의 동작 원리를 분석하는 데 어려움을 겪게 만들며, 실제 공격 환경에서 더 높은 성공률을 확보할 수 있도록 돕습니다. 이러한 상황은 보안 솔루션의 발전 속도가 공격자들의 창의성에 미치지 못하고 있음을 보여줍니다.

더불어, 진저맨 그룹과 같은 랜섬웨어 그룹들은 RaaS(Ransomware-as-a-Service) 모델을 통해 공격 도구와 인프라를 공유하고, 소규모 그룹에서도 대규모 공격을 수행할 수 있도록 지원합니다. 이러한 모델은 공격의 규모와 빈도를 증가시킬 뿐만 아니라, 새로운 공격 기법의 확산을 가속화합니다. 보안 업계는 이러한 변화에 대응하기 위해, 공격자들의 도구와 기법에 대한 지속적인 연구와 분석이 필요합니다.

기업과 보안 담당자의 실질적인 대응 전략

진저맨 그룹의 EDR 킬러와 같은 새로운 위협에 효과적으로 대응하기 위해서는 기업과 보안 담당자들이 다층적인 보안 전략을 구축해야 합니다. 첫째, 시스템의 커널 수준에서 발생하는 공격을 탐지하고 차단할 수 있는 솔루션을 도입해야 합니다. 예를 들어, 커널 보호 기능이 강화된 엔드포인트 보안 솔루션이나, 커널 모드 드라이버의 무결성을 검증하는 도구들을 활용할 수 있습니다.

둘째, BYOVD 기법과 같은 취약한 드라이버를 악용한 공격을 방지하기 위해, 시스템에 설치된 드라이버의 무결성을 정기적으로 점검해야 합니다. 또한, 알려진 취약한 드라이버는 즉시 제거하거나 패치해야 하며, 새로운 드라이버가 설치될 때마다 엄격한 검증 프로세스를 거치도록 해야 합니다. 이러한 접근 방식은 시스템의 핵심 영역을 보호하고, 공격자가 커널 권한을 획득하는 것을 방지할 수 있습니다.

셋째, 지속적인 모니터링과 위협 인텔리전스를 통해 새로운 공격 기법과 도구에 대한 정보를 신속히 확보해야 합니다. 보안 연구자들과의 협력을 통해 새로운 위협에 대한 인텔리전스를 공유하고, 대응책을 마련할 수 있습니다. 또한, 침해 사고 발생 시 신속한 대응을 위해 인시던트 대응 플랜(IRP)을 수립하고, 정기적인 훈련을 실시해야 합니다.

넷째, 사용자 교육과 인식을 강화해야 합니다. 많은 공격이 피싱 이메일이나 악성 링크를 통해 시작되기 때문에, 직원들에게 보안 의식 교육을 제공하고, 의심스러운 이메일이나 링크를 클릭하지 않도록 주의시켜야 합니다. 또한, 다단계 인증(MFA)을 도입해 인증 정보를 보호하고, lateral movement를 방지하는 데 도움이 되도록 해야 합니다.

보안 업계의 역할과 미래 전망

진저맨 그룹의 EDR 킬러와 같은 새로운 위협은 보안 업계에 큰 도전 과제를 제시하고 있습니다. 보안 솔루션 제공업체들은 이러한 공격에 대응하기 위해 지속적인 연구 개발에 투자해야 하며, 새로운 탐지 및 차단 기술을 개발해야 합니다. 특히, 커널 수준의 공격 탐지에 특화된 솔루션과, AI 기반의 행동 분석 기술을 결합한 차세대 보안 솔루션의 개발이 필요합니다.

또한, 보안 업계는 공격자들의 도구와 기법에 대한 공유와 협력을 강화해야 합니다. 예를 들어, 보안 연구자들은 새로운 공격 도구에 대한 분석 결과를 공유하고, 보안 솔루션 제공업체들은 이러한 인텔리전스를 바탕으로 솔루션을 개선할 수 있어야 합니다. 이러한 협력은 보안 업계 전체의 대응 능력을 높이는 데 기여할 것입니다.

미래에는 랜섬웨어 그룹들이 더욱 정교한 공격 기법과 도구를 개발할 가능성이 높습니다. 특히, AI와 머신러닝 기술을 악용한 공격이 증가할 것으로 예상되며, 이러한 공격은 전통적인 보안 솔루션으로는 탐지 및 차단이 어려운 경우가 많습니다. 보안 업계는 이러한 변화에 대응하기 위해, AI 기반의 보안 솔루션과 자동화된 대응 체계를 개발해야 합니다.

또한, 정부와 규제 기관은 보안 표준과 규제를 강화해, 기업들이 최소한의 보안 수준을 갖추도록 해야 합니다. 예를 들어, 커널 보호 표준이나, 취약한 드라이버 사용에 대한 규제를 강화하는 등의 조치가 필요할 수 있습니다. 이러한 규제는 기업들이 보안에 대한 투자를 늘리고, 새로운 위협에 효과적으로 대응할 수 있도록 지원할 것입니다.

실무자들을 위한 체크리스트와 모니터링 포인트

진저맨 그룹의 EDR 킬러와 같은 새로운 위협에 효과적으로 대응하기 위해서는 실무자들이 주기적으로 점검하고 모니터링해야 할 항목들이 있습니다. 다음은 실무자들을 위한 체크리스트와 모니터링 포인트입니다.

첫째, 시스템에 설치된 드라이버 목록을 주기적으로 점검해야 합니다. 알려진 취약한 드라이버나, 의심스러운 드라이버가 설치되어 있는지 확인하고, 필요한 경우 즉시 제거하거나 패치해야 합니다. 또한, 새로운 드라이버가 설치될 때마다 엄격한 검증 프로세스를 거치도록 해야 합니다.

둘째, 엔드포인트 보안 솔루션의 로그와 알림을 정기적으로 검토해야 합니다. 특히, 커널 수준의 이벤트나, 시스템 프로세스의 비정상적인 종료, 또는 보안 엔진의 비활성화와 같은 이벤트에 주목해야 합니다. 이러한 이벤트는 공격의 징후일 가능성이 높기 때문에, 신속한 대응이 필요합니다.

셋째, 네트워크 트래픽을 모니터링하고, 의심스러운 활동이 감지되면 즉시 조사해야 합니다. 예를 들어, 알 수 없는 외부 IP와의 통신이나, 대량의 데이터 전송, 또는 시스템 내부의 lateral movement와 같은 활동은 공격의 징후일 가능성이 높습니다. 네트워크 기반의 보안 솔루션을 활용해 이러한 활동을 탐지하고 차단할 수 있습니다.

넷째, 사용자 행동과 인증 활동을 모니터링해야 합니다. 다단계 인증(MFA)을 도입하고, 인증 실패가 반복되는 경우 즉시 조사를 실시해야 합니다. 또한, 사용자의 권한 상승이나, 새로운 계정 생성과 같은 활동도 주목해야 합니다.

마지막으로, 보안 업계의 최신 위협 인텔리전스와 연구 결과를 주기적으로 확인해야 합니다. 새로운 공격 기법이나 도구가 발견되면, 이를 바탕으로 보안 전략을 개선하고, 대응 체계를 강화할 수 있습니다. 또한, 보안 커뮤니티에 참여해, 다른 실무자들과의 정보 공유와 협력을 강화할 수 있습니다.

결론: 지속적인 진화와 협력이 답이다

진저맨 그룹의 EDR 킬러와 같은 새로운 위협은 보안 업계에 큰 도전 과제를 제시하고 있습니다. 이러한 위협은 시스템의 커널 수준에서 동작하며, 전통적인 보안 솔루션으로는 탐지 및 차단이 어려운 경우가 많습니다. 또한, 다중 도구 조합 공격과 RaaS 모델의 확산은 공격의 규모와 빈도를 증가시키고 있습니다.

기업과 보안 담당자들은 이러한 변화에 대응하기 위해, 다층적인 보안 전략을 구축하고, 지속적인 모니터링과 위협 인텔리전스를 확보해야 합니다. 또한, 보안 솔루션 제공업체들과의 협력을 강화하고, 새로운 탐지 및 차단 기술을 개발해야 합니다. 이러한 노력은 보안 업계 전체의 대응 능력을 높이는 데 기여할 것입니다.

미래에는 랜섬웨어 그룹들이 더욱 정교한 공격 기법과 도구를 개발할 가능성이 높습니다. 특히, AI와 머신러닝 기술을 악용한 공격이 증가할 것으로 예상되며, 이러한 공격은 전통적인 보안 솔루션으로는 탐지 및 차단이 어려운 경우가 많습니다. 보안 업계는 이러한 변화에 대응하기 위해, AI 기반의 보안 솔루션과 자동화된 대응 체계를 개발해야 합니다.

결국, 보안은 지속적인 진화와 협력의 결과물입니다. 기업과 보안 담당자들은 새로운 위협에 주목하고, 이를 방어하기 위한 노력을 지속해야 합니다. 또한, 보안 업계 전체가 협력해, 새로운 위협에 효과적으로 대응할 수 있는 환경을 조성해야 합니다.只有这样，我们才能在不断变化的网络威胁环境中保持领先地位，并确保企业和用户的安全。