다양한 유형의 해킹사고 정리(WannaCry 랜섬웨어, MS워드 해킹 사건, Storm-0558(중국 해킹 그룹)의 이메일 시스템 해킹 사건)

WannaCry 랜섬웨어 공격 (2017년)

1. 사건 개요

• 발생 시기 : 2017년 5월 12일 대규모 전파 시작
• 피해 규모 : 전 세계 150여 개국, 23만 대 이상 시스템 감염 및 대규모 인프라 마비
• 사건 요약 : 워너크라이는 사용자의 개입 없이 네트워크를 통해 스스로 전파되는 웜(Worm) 형태의 랜섬웨어, 파워쉘(PowerShell)을 악용하여 악성 페이로드를 실행하고, Windows 운영체제의 SMBv1 취약점(MS17-010)을 공격하여 내부망을 빠르게 장악, 특히 감염된 PC에 네트워크 드라이브로 연결된 NAS(Network Attached Storage) 및 공유 파일 서버의 데이터까지 연쇄적으로 암호화하여 기업 데이터 보안에 치명적인 피해를 입힌 아주 큰 사건

2. 주요 내용(사고 분석 및 취약점)

NAS(SMB 버전) 및 네트워크 취약점

• NAS와 SMB의 관계 : NAS는 다수의 사용자가 파일을 공유하고 저장하기 위해 주로 SMB(Server Message Block) 프로토콜을 사용함, WannaCry 사태 당시 많은 기업의 NAS와 파일 서버가 구형 프로토콜인 SMBv1을 기본으로 활성화해 두고 있었던 것이 화근
• 연쇄 피해 및 취약점 원리 : WannaCry는 감염된 엔드포인트(PC)에서 네트워크를 스캔하여 445번(SMB) 포트가 열려있는 시스템을 찾았음, NAS 자체가 윈도우 기반이 아니더라도, 감염된 PC에 SMB로 연결된 NAS의 공유 폴더는 랜섬웨어의 암호화 대상이 되어 대규모 데이터 유실로 이어짐 또한, 일부 리눅스 기반 NAS의 구버전 Samba 서비스 자체에 존재하는 취약점을 통한 공격 경로도 존재하였음

3. 대응 방안 및 주요 착안사항

NAS (SMB 버전) 취약점 대응 대책

• SMBv1 프로토콜 완전 비활성화 : NAS 관리자 페이지(DSM, QTS 등) 및 사내 모든 파일 서버에서 SMBv1 지원을 즉각 비활성화해야 함, 보안이 강화된 최소 SMBv2 또는 SMBv3 환경으로만 운영되도록 설정
• NAS 펌웨어 및 보안 패치 최신화 : NAS 운영체제 및 내장된 Samba 서비스의 취약점을 제거하기 위해 벤더사에서 제공하는 최신 보안 패치를 주기적으로 적용해야 함
• 불필요한 외부 포트 차단 : NAS의 SMB 포트(TCP 139, 445)가 외부 인터넷(공인 IP)에 직접 노출되지 않도록 방화벽/공유기 단에서 포트 포워딩을 엄격히 금지하고, 외부 접근 시 반드시 VPN을 거치도록 통제해야 함

공유 폴더 보안 대책 (스토리지 접근 제어 관점)

• 네트워크 드라이브 맵핑 최소화 및 권한 통제: 사용자 PC에 NAS 공유 폴더를 항시 연결해 두는 것을 지양해야 함 ‘Everyone’에 대한 접근을 차단하고, 각 사용자/부서별로 필요한 폴더에만 읽기 또는 수정 권한을 제한적으로 부여하는 최소 권한의 원칙을 적용
• 랜섬웨어 방어용 스냅샷 구성: 랜섬웨어에 의해 공유 폴더 내 파일이 암호화되더라도 즉시 복구할 수 있도록, NAS 단위에서 읽기 전용 스냅샷을 주기적으로 생성하고 보존하는 정책을 필수적으로 적용
• 관리자 계정 분리 및 2FA 적용: NAS 관리자 계정의 기본 이름을 변경하고, 관리자 로그인 시 반드시 2단계 인증(2FA)을 거치도록 하여 계정 탈취로 인한 스토리지 포맷 등을 방지

파일형 악성코드 (파일 스토리지) 탐지 대책

• 스토리지 연동 백신(AV) 및 ICAP 적용: NAS 내부에 저장되는 파일형 악성코드를 탐지하기 위해 NAS 자체에서 지원하는 백신 프로그램을 구동하거나, ICAP(Internet Content Adaptation Protocol)을 지원하는 외부 보안 장비와 연동하여 파일 업로드/다운로드 시 실시간으로 악성코드를 스캔
• 파일 스크리닝(File Screening) 기술 적용 : 윈도우 파일 서버의 FSRM(파일 서버 리소스 관리자) 기능이나 NAS의 자체 보안 기능을 활용하여, 알려진 랜섬웨어의 암호화 확장자(예: .wncry, .locky, .crypt 등)가 스토리지에 기록(저장)되는 것을 원천 차단
• 디코이(Decoy, 미끼) 파일 기반 행위 탐지 : 공유 폴더 곳곳에 일반 사용자는 접근하지 않는 숨김 처리된 미끼 파일(Honeypot)을 배치, 이 파일에 수정, 삭제, 암호화 등의 I/O 이벤트가 발생할 경우 즉시 보안 관리자에게 알람을 전송하고 해당 세션(IP)의 접근을 차단하는 행위 기반 탐지 체계를 구축
• 대규모 파일 변경 모니터링 : 짧은 시간 동안 다량의 파일 이름이 변경되거나 쓰기 작업이 발생하는 랜섬웨어 특유의 이상 행위를 탐지하고 차단하는 스토리지 모니터링(SIEM 연동) 체계를 마련
• 화이트리스트 기반 파일 업로드 통제 : NAS 및 공유 폴더에 파일을 저장(업로드)할 때, 업무에 필수적인 안전한 문서 및 이미지 확장자(.pdf, .docx, .jpg 등)만 허용하는 화이트리스트(Whitelist) 정책을 적용해야 한다. 이를 통해 .exe, .bat, .ps1 등 악성 스크립트나 실행 파일 형태의 랜섬웨어 페이로드가 스토리지 내부로 유입되는 것을 원천 차단 가능

---

정부 보고서 위장 MS 워드 해킹 사건 분석 보고서(2023년)

1. 사건 개요

2023년 발생한 이 사건은 공격자가 정부 보고서를 위장한 MS 워드 문서를 이메일을 통해 유포하여 사용자의 실행을 유도한 해킹 사례, 공격자는 사회적 이슈와 정부 공식 문서를 모방하여 신뢰도를 높였으며, 사용자가 문서를 열람하는 순간 악성 행위가 수행되도록 설계

특이 사항은 단순한 문서 기반 악성코드가 아니라, MS 워드의 기능과 브라우저 엔진 취약점을 결합한 복합 공격이라는 점에서 중요한 사례로 평가됨

2. 공격 구조

• 악성 문서(MS워드) 파일 열람 시, 사용자PC는 공격자 서버로 접속되어 악성 서식 파일(RTF) 다운로드
• 악성 RTF 파일에 삽입된 인터넷주소(URL)를 통해 공격자 서버에서 악성 HTML 파일 추가 다운로드
• MS워드에서 HTML 파일을 처리하기 위해 인터넷 익스플로러(IE)의 스크립트 엔진(JScript9)을 사용하는데 해당 엔진의 취약점으로 인해 악성코드가 실행

즉, 문서 파일을 시작점으로 하여 외부 콘텐츠와 브라우저 엔진을 연계하는 다단계 공격 구조를 가짐

3. 주요 착안사항

① MS 워드 매크로 보안 위험

MS 워드는 매크로 기능을 통해 문서 내에 포함된 스크립트를 실행할 수 있음, 공격자는 이를 악용하여 사용자가 콘텐츠 사용 버튼을 클릭하도록 유도하고, 악성 VBA 메크로 코드가 실행되도록 하였음

이 방식은 기술적 취약점 뿐 아니라 사용자 행동을 기반으로 공격이 완성된다는 특징이 있으며, 보안 경고를 무력화 시키는 대표적인 사회 공학 공격 기법

 

② OLE(Object Linking and Embedding) 기능 악용

OLE 기능은 문서 내부에서 외부 콘텐츠를 연결하고 실행할 수 있도록 하는 기능이다. 공격자는 이 기능을 이용하여 문서 실행 시 외부 서버에서 추가 파일을 자동으로 다운로드하도록 구성하였음

특히 DOCX → RTF → HTML로 이어지는 다단계 다운로드 구조를 통해 보안 솔루션의 탐지를 우회하고, 최종적으로 악성코드를 실행하는 기반을 마련하였음, 이는 사용자가 인지하지 못하는 상태에서 외부 코드가 실행될 수 있다는 점에서 큰 보안 위험 요소임

 

③ 인터넷 익스플로러(IE) 취약점 악용

공격의 핵심은 MS 워드가 HTML 파일을 처리하는 과정에서 인터넷 익스플로러의 스크립트 엔진(JScript9)을 내부적으로 사용한다는 점, 공격자는 해당 엔진의 Type Confusion 취약점(CVE-2022-41128)을 악용하여 메모리를 조작하고, 임의의 코드를 실행

특히 인터넷 익스플로러는 공식적으로 지원이 종료된 상태임에도 불구하고 일부 소프트웨어 내부에서 여전히 사용되고 있어, 이러한 레거시 구성 요소가 주요 공격 표면으로 작용하였음

---

중국 해킹 그룹 Storm-0558의 미국 정부기관 이메일 시스템 해킹 사건 (2023년)

1. 사건 개요

• 공격 주체: 중국 해킹 그룹 Storm-0558
• 공격 대상: 미국 국무부 및 25개 이상의 정부기관 및 관련인 (중국과 외교적으로 관련된 인물)
• 공격 시스템: Microsoft Exchange Online, Outlook Web Access
• 공격 기간: 6주 이상
• 탈취 데이터: 이메일 6만건 이상

  사건 특징

• 단순 계정 탈취가 아닌 클라우드 인증 체계 자체를 악용한 공격
• 탐지가 Microsoft 내부가 아니라 고객의 이상 징후 신고로 시작

시점	내용
21년	마이크로소프트 내부 시스템 크래시 → 메모리 덤프 생성(키 유출 시작점)
23년 5월15일	Storm-0558의 위조토큰으로 침투 시작
23년 6월	미 국무부 직원이 이메일 접근 로그 수동 분석 중 이상 징후 포착
23년 6월	마이크로소프트에 신고 및 협동 조사 시작

2. 주요 내용

AD(Active Directory)란?

• Microsoft에서 제공하는 디렉터리 서비스
• 사용자 계정, 그룹, 권한 등을 중앙에서 관리하는 시스템
• 주로 Windows Server 환경에서 사용됨
• 공격 흐름

(정상)
사용자 로그인 → AD 인증 → 액세스 토큰 발급 → 서비스 접근

(공격)
서명 키 탈취 → 액세스 토큰 위조 → 인증 통과 → 이메일 접근

 

정상 인증 구조

사용자가 로그인하면 Azure AD가 액세스 토큰을 발급, 이 토큰에는 위조 방지를 위한 전자서명이 포함되며, 서비스는 서명 키(공개키)로 서명을 검증해 토큰의 진위를 판단 즉, 서명 키가 신뢰의 근거

• 진짜 키로 서명된 위조 토큰은 검증을 통과하기 때문에 MFA, 비밀번호 등 기존 보안 통제를 전부 우회 가능

키 탈취 경로

• 2021년 MS 내부 크래시 당시 생성된 메모리 덤프 파일에 서명키 포함
• 해당 파일이 인터넷에 연결된 엔지니어링 환경으로 이동
• 공격자가 해당 환경 침투 후 키 추출 했을 것으로 추정

검증 로직 결함

• MSA용 키와 Azure AD(기업, 정부)용 키는 분리 되어야 함
• 마이크로 소프트 검증 로직 결함으로 MSA 키로 서명된 토큰이 Azure AD 에서도 유효하게 처리됨

공격 결과

• 미 국무부 등 25개 이상 기관 이메일 데이터 접근 및 정보 탈취
• 서버 입장에서 완전한 정상 사용자 로그인으로 인식됨
• MFA 및 비밀번호 기반 보안 무력화
• 약 30일간 탐지되지 않음