[오늘의 보안 동향] 인터록 랜섬웨어, 방화벽 제로데이 취약점 악용…패치 전 한 달 넘게 침투

<3~7줄 요약>

인터록(Interlock) 랜섬웨어 조직이 시스코 시큐어 파이어월 매니지먼트 센터(FMC)의 CVE-2026-20131 제로데이 취약점을 악용하여 2026년 1월 26일부터 실제 공격을 수행했으며, 시스코가 취약점을 공개한 3월 초까지 최소 한 달 이상 방어 체계가 구축되지 않은 상태에서 기업 환경에 침투할 수 있었음
해당 취약점은 자바 바이트 스트림의 안전하지 않은 역직렬화 문제로 인증 없이 원격에서 임의 코드를 실행할 수 있으며, 공격 성공 시 공격자는 FMC 장비에서 루트 권한을 획득하여 네트워크 보안 장비 자체가 공격 거점으로 전환될 수 있는 위험성이 매우 높음
공격은 조작된 HTTP 요청으로 자바 코드 실행 → 외부 서버와 통신 → ELF 바이너리 형태 악성 도구 다운로드 단계적으로 진행되었으며, 파워셸 정찰 스크립트, 자바/자바스크립트 기반 맞춤형 원격접속 트로이목마(RAT), 메모리 상주 웹셸 등 다양한 공격 도구가 활용됨
공격자는 리눅스 환경에서 리버스 프록시 구성, 로그 주기적 삭제, 셸 기록 제거 등 공격 흔적을 은폐했으며, ScreenConnect 등 원격 제어 도구를 백업 경로로 사용해 지속적인 접근 권한을 유지하려 함
아마존 위협 인텔리전스는 인터록 조직의 운영 인프라 일부가 잘못 설정된 서버를 통해 노출된 사실을 확인했으며, 이를 통해 공격 도구, 악성코드, 침투 절차 등 내부 운영 방식을 파악할 수 있었고, 활동 시간 분석 결과 해당 조직은 UTC+3 시간대에서 운영될 가능성이 높은 것으로 나타남
최근 랜섬웨어 조직은 VPN과 방화벽 등 네트워크 장비 취약점을 초기 침투 지점으로 적극 활용하고 있으며, 윈도 기본 기능이나 합법적인 원격 관리 도구 활용, 탈취 계정이나 검색엔진 조작, 광고 기반 유포 등 다양한 경로를 통한 초기 접근 확보 사례가 증가하고 있음
보안 전문가들은 단순한 취약점 패치뿐 아니라 네트워크 접근 통제, 행위 기반 탐지, 원격접속 도구 관리, 로그 보존 및 분석 등 다계층 방어 전략이 필수적이며, 특히 원격관리 도구와 계정 보안에 대한 통제가 향후 랜섬웨어 대응의 핵심 요소로 떠오르고 있음을 강조

 

<용어 및 프로그램 설명>

인터록(Interlock) 랜섬웨어 : 2024년부터 활동 중인 국제 랜섬웨어 조직으로, 기업 네트워크를 침해한 후 데이터를 암호화하고 몸값을 요구하는 사이버 범죄 그룹. 최근 네트워크 장비 취약점을 초기 침투 지점으로 활용하는 고급 공격 방식을 사용

제로데이(Zero-Day) 취약점 : 소프트웨어 개발사가 취약점을 발견하고 패치를 배포하기 전에 공격자가 이를 악용하는 취약점으로, 보안 업계에서 가장 위험한 위협으로 평가되며 방어가 매우 어려움

CVE-2026-20131 : 시스코 시큐어 파이어월 매니지먼트 센터(FMC)에서 발견된 원격 코드 실행(RCE) 취약점으로, 자바 바이트 스트림의 안전하지 않은 역직렬화로 인해 인증 없이 임의 명령 실행이 가능한 중대 보안 결함

역직렬화(Deserialization) : 직렬화된 데이터(바이트 형태)를 다시 원래의 객체 형태로 변환하는 과정으로, 입력 검증이 부족하면 공격자가 악의적인 코드를 주입하여 임의 명령 실행이 가능하게 됨

파워셸(PowerShell) 정찰 스크립트 : 마이크로소프트 윈도우의 명령 라인 인터페이스인 파워셸을 이용해 시스템 정보, 서비스, 소프트웨어, 사용자 파일 등을 광범위하게 수집하는 공격용 스크립트

원격접속 트로이목마(RAT, Remote Access Trojan) : 공격자가 감염된 컴퓨터를 원격으로 제어할 수 있게 하는 악성코드로, 파일 전송, 명령 실행, 화면 캡처 등 다양한 악의적 행동이 가능하며 자가 업데이트와 자가 삭제 기능을 갖춤

웹셸(Web Shell) : 공격자가 웹 서버에 업로드하여 웹 브라우저를 통해 명령을 실행하고 서버를 제어하는 악성 스크립트로, 메모리에만 상주하면 디스크 검색으로도 발견이 어려움

리버스 프록시(Reverse Proxy) : 클라이언트의 요청을 받아 백엔드 서버로 전달하는 프록시 서버로, 공격자가 이를 구성하면 실제 공격 경로를 숨길 수 있어 추적을 어렵게 만듦

ScreenConnect : 원격 데스크톱 관리 및 지원 도구로 정상적인 IT 관리에 사용되지만, 공격자가 악용할 경우 장기간 원격 접근 권한을 유지할 수 있는 백업 침투 경로가 됨

행위 기반 탐지(Behavior-Based Detection) : 알려진 악성코드 시그니처만 탐지하는 방식이 아니라 의심스러운 시스템 행동 패턴 자체를 모니터링하여 미지의 공격도 탐지하는 고급 보안 기법

 

<출처 및 원본 문서>

출처: 데일리시큐(Daily Secu) 기사 주소: https://www.dailysecu.com

데일리시큐

 

 

<원문 내용>

인터록 랜섬웨어, 방화벽 제로데이 취약점 악용…패치 전 한 달 넘게 침투

인터록(Interlock) 랜섬웨어 조직이 시스코 시큐어 파이어월 매니지먼트 센터(FMC)의 치명적 취약점을 악용해 실제 공격을 수행한 정황이 확인됐다. 특히 해당 취약점은 공개 이전부터 이미 공격에 활용된 '제로데이'였던 것으로 드러나 보안 업계에 경각심을 주고 있다.

아마존 위협 인텔리전스는 CVE-2026-20131 취약점이 2026년 1월 26일부터 악용된 정황을 확인했다고 밝혔다. 시스코가 해당 취약점을 공개한 시점은 3월 초로, 공격자는 최소 한 달 이상 방어 체계가 준비되지 않은 상태에서 기업 환경에 침투할 수 있었던 것으로 분석된다.

이 취약점은 사용자 입력 자바 바이트 스트림을 안전하지 않게 처리하는 역직렬화 문제로, 인증 없이 원격에서 임의 코드를 실행할 수 있는 구조다. 공격에 성공할 경우 공격자는 FMC 장비에서 루트 권한을 획득하게 된다. 네트워크 보안 장비 자체가 공격 거점으로 전환될 수 있다는 점에서 위험성이 매우 높다.

아마존은 이번 공격을 분석하는 과정에서 인터록 조직의 운영 인프라 일부가 잘못 설정된 서버를 통해 노출된 사실을 확인했다. 이를 통해 공격 도구, 악성코드, 침투 절차 등 내부 운영 방식까지 파악할 수 있었다고 설명했다.

공격은 단계적으로 진행됐다. 공격자는 먼저 취약한 FMC 경로로 조작된 HTTP 요청을 보내 자바 코드를 실행했다. 이후 감염된 시스템은 외부 서버와 통신해 침투 성공 여부를 전달하고, 추가 명령을 받아 ELF 바이너리 형태의 악성 도구를 다운로드했다.

이 과정에서 다양한 공격 도구가 활용됐다. 윈도 환경을 정밀하게 분석하는 파워셸 정찰 스크립트가 사용됐으며, 시스템 정보, 실행 서비스, 설치 소프트웨어, 사용자 파일, 브라우저 데이터, 네트워크 연결, RDP 인증 기록 등 광범위한 정보 수집이 이뤄졌다.

또한 자바 및 자바스크립트 기반의 맞춤형 원격접속 트로이목마(RAT)가 확인됐다. 이 악성코드는 명령 실행, 파일 전송, 프록시 기능뿐 아니라 자가 업데이트와 자가 삭제 기능까지 포함하고 있어 분석과 추적을 어렵게 만든다.

리눅스 환경에서는 공격 흔적을 숨기기 위한 은폐 기법도 사용됐다. 공격자는 서버를 리버스 프록시로 구성해 실제 공격 경로를 숨겼고, 로그를 주기적으로 삭제하며 셸 기록까지 제거하는 방식으로 흔적을 최소화했다.

이 외에도 메모리 상주 웹셸, 네트워크 비컨, 원격 제어 도구(ScreenConnect) 등이 활용된 것으로 확인됐다. 특히 ScreenConnect는 공격자가 지속적으로 접근 권한을 유지하기 위한 백업 경로로 사용된 것으로 분석된다.

아마존은 랜섬노트, TOR 협상 인프라, 운영 방식 등을 종합해 이번 공격을 인터록 랜섬웨어와 연결했다. 활동 시간 분석 결과, 해당 조직은 UTC+3 시간대에서 운영될 가능성이 높은 것으로 나타났다.

이번 사건은 단일 취약점 문제를 넘어 랜섬웨어 공격 방식 변화와도 맞물린다. 구글 위협 인텔리전스 분석에 따르면 최근 랜섬웨어 조직은 VPN과 방화벽 등 네트워크 장비 취약점을 초기 침투 지점으로 적극 활용하고 있다.

또한 외부 악성 도구 대신 윈도 기본 기능이나 합법적인 원격 관리 도구를 활용하는 방식이 증가하고 있으며, 탈취 계정이나 검색엔진 조작, 광고 기반 유포 등 다양한 경로를 통해 초기 접근을 확보하는 사례도 늘고 있다.

보안 전문가들은 이번 사례가 제로데이 공격의 본질적인 위험성을 보여준다고 분석했다. 패치가 존재하지 않는 기간 동안은 기존 보안 체계만으로는 완전한 방어가 어렵기 때문이다.

따라서 단순한 취약점 패치뿐 아니라 다계층 방어 전략이 필수적이라는 지적이다. 네트워크 접근 통제, 행위 기반 탐지, 원격접속 도구 관리, 로그 보존 및 분석 체계를 함께 구축해야 실제 피해를 줄일 수 있다.

현재 시스코는 해당 취약점에 대한 보안 업데이트를 배포한 상태다. 기업은 즉시 패치를 적용하고, FMC 장비 및 원격접속 환경 전반에 대한 침해 여부 점검이 필요하다. 특히 승인되지 않은 원격 제어 도구 설치 여부를 확인하는 것이 중요하다.

이번 사건은 "패치 이전 공격"이라는 제로데이의 현실을 다시 보여준 사례였다. 보안 담당자는 취약점 관리만으로는 충분하지 않다는 점을 인식해야 한다. 네트워크 장비까지 포함한 전방위 모니터링, 행위 기반 탐지, 접근 통제 강화가 동시에 이뤄져야 한다. 또한 원격관리 도구와 계정 보안에 대한 통제가 향후 랜섬웨어 대응의 핵심 요소로 떠오르고 있다.