프로젝트 AK47: SharePoint 취약점을 악용한 신종 랜섬웨어 위협, 기업 보안 비상!
오늘날 디지털 전환이 가속화되면서 기업 환경의 복잡성은 기하급수적으로 증가하고 있으며, 이는 곧 새로운 사이버 보안 위협의 등장을 의미합니다. 데이터와 협업이 비즈니스의 핵심으로 자리 잡으면서 Microsoft SharePoint와 같은 엔터프라이즈 콘텐츠 관리 시스템(ECM)은 공격자들의 주요 표적이 되고 있습니다. 이러한 상황에서 '프로젝트 AK47'이라는 새로운 랜섬웨어 도구 모음이 SharePoint 취약점을 직접 겨냥하여 공격에 사용되었다는 사실이 밝혀지면서 전 세계 기업 보안 담당자들에게 큰 경고등이 켜졌습니다. 이 공격은 단순한 데이터 암호화를 넘어 기업의 운영 자체를 마비시킬 수 있는 심각한 위협입니다. 따라서 오늘날의 기업 환경에서 능동적이고 선제적인 사이버 보안 전략은 더 이상 선택이 아닌 필수 생존 요건이 되었습니다. 이 글에서는 '프로젝트 AK47'의 실체와 공격 방식, 그리고 이에 맞서 우리 기업의 핵심 자산을 보호할 수 있는 구체적인 대응 방안을 심층적으로 분석합니다.
프로젝트 AK47란 무엇인가? Unit 42 보고서 심층 분석
최근 사이버 위협 환경에서 가장 주목받는 이름 중 하나는 바로 '프로젝트 AK47'입니다. 이는 단일 악성코드가 아닌, 고도로 조직화된 공격을 위해 설계된 일련의 도구 모음(Toolset)을 지칭합니다. 팔로알토 네트웍스의 위협 인텔리전스팀 Unit 42는 최신 연구 보고서를 통해 이 위협의 구체적인 실체를 공개하며 기업들의 각별한 주의를 요구했습니다. 이 보고서는 '프로젝트 AK47'이 어떻게 SharePoint 서버를 침투하고, 최종적으로 랜섬웨어 공격을 감행하는지에 대한 중요한 단서들을 제공합니다.
신종 랜섬웨어 도구 모음의 등장
Unit 42에 따르면, '프로젝트 AK47'은 단순히 데이터를 암호화하는 랜섬웨어 프로그램만을 의미하지 않습니다. 오히려 SharePoint 익스플로잇을 위한 'ToolShell'과 같은 침투 도구, 시스템에 지속적으로 접근하기 위한 백도어, 네트워크 내부로 확산하기 위한 도구, 그리고 민감 정보를 외부로 유출하기 위한 모듈까지 포함할 수 있는 포괄적인 공격 도구 모음입니다. 이러한 구성은 공격자가 초기 침투부터 정보 유출, 그리고 최종적인 랜섬웨어 배포까지 공격의 전 단계를 체계적으로 수행할 수 있도록 지원합니다. 이는 공격의 성공률을 극대화하고, 피해 기업의 협상력을 약화시키려는 명확한 의도를 보여줍니다. 이러한 정교함은 일반적인 랜섬웨어 공격과는 차원을 달리하는 위협입니다.
ToolShell 익스플로잇 체인과의 연관성
보고서에서 가장 주목해야 할 부분은 '프로젝트 AK47'이 'ToolShell'이라는 SharePoint 익스플로잇 체인을 사용한다는 점입니다. 'ToolShell'은 단 하나의 취약점을 이용하는 것이 아니라, 여러 개의 SharePoint 취약점을 순차적으로 연결하여 공격 효과를 극대화하는 '체인(Chain)' 방식의 공격 도구입니다. 예를 들어, 첫 번째 취약점으로 초기 접근 권한을 확보한 뒤, 두 번째 권한 상승 취약점을 이용해 관리자 권한을 탈취하고, 마지막으로 원격 코드 실행 취약점으로 랜섬웨어를 실행하는 식입니다. 이러한 체인 방식은 방어자 입장에서 공격의 전체 흐름을 파악하고 차단하기 어렵게 만듭니다. 'ToolShell'의 존재는 공격자들이 SharePoint의 보안 구조를 깊이 이해하고 있으며, 이를 무력화하기 위한 맞춤형 도구를 개발했음을 시사합니다.
공격 배후: 위협 그룹 Storm-2603
Unit 42는 '프로젝트 AK47'과 'ToolShell'을 사용한 활동이 'Storm-2603'이라는 특정 위협 그룹의 소행과 일치한다고 분석했습니다. 'Storm-2603'은 고도의 기술력과 조직력을 갖춘 것으로 알려진 위협 행위자 그룹으로, 이들의 활동이 관측되었다는 것은 이번 공격이 단순한 금전적 이득을 노린 범죄를 넘어설 수 있음을 의미합니다. 'Storm-2603'과 같은 그룹은 국가의 지원을 받는 APT(지능형 지속 위협) 그룹이거나, 특정 산업을 표적으로 하는 전문 사이버 범죄 조직일 가능성이 높습니다. 이들이 SharePoint 취약점과 랜섬웨어를 결합했다는 사실은 기업의 핵심 인프라를 마비시키고 막대한 피해를 입히려는 명확한 동기를 가지고 있음을 보여줍니다. 따라서 기업 보안팀은 이 위협을 일회성 이벤트가 아닌, 지속적인 위협으로 간주하고 대응해야 합니다.
SharePoint 취약점: 왜 기업의 핵심 표적이 되는가?
Microsoft SharePoint는 전 세계 수많은 기업에서 문서 관리, 내부 협업, 프로젝트 관리, 비즈니스 인텔리전스 대시보드 등 핵심적인 업무를 수행하는 데 사용되는 강력한 플랫폼입니다. 하지만 바로 이러한 중요성 때문에 SharePoint는 공격자들에게 매우 매력적인 표적이 됩니다. SharePoint 서버 한 곳만 장악하면 기업의 가장 민감하고 가치 있는 정보에 접근할 수 있기 때문입니다. '프로젝트 AK47'이 SharePoint 취약점을 노린 것은 결코 우연이 아닙니다.
SharePoint의 중요성과 데이터 집중 현상
기업 내에서 SharePoint는 '디지털 금고'와 같은 역할을 합니다. 재무 보고서, 신제품 개발 계획, 고객 개인정보, 지적 재산, 인사 기록 등 기업의 존폐를 좌우할 수 있는 핵심 데이터가 SharePoint 서버에 집중적으로 저장되는 경우가 많습니다. 공격자 입장에서 이는 최소한의 노력으로 최대한의 성과를 얻을 수 있는 '고가치 표적'을 의미합니다. SharePoint 취약점을 성공적으로 악용할 경우, 공격자는 기업의 모든 것을 손에 쥘 수 있게 되는 것입니다. 이는 기업 보안 전략에서 SharePoint 서버 보호가 최우선 순위가 되어야 하는 이유를 명확히 보여줍니다.
과거 SharePoint 공격 사례와 교훈
SharePoint를 대상으로 한 공격은 이번이 처음이 아닙니다. 과거에도 다양한 취약점(예: CVE-2019-0604 원격 코드 실행 취약점)이 발견되어 여러 해킹 그룹에 의해 악용된 바 있습니다. 이러한 공격들은 주로 패치가 적용되지 않은 서버를 대상으로 이루어졌으며, 데이터 유출, 웹사이트 변조, 악성코드 유포의 거점 등으로 활용되었습니다. 과거 사례들은 한 가지 공통된 교훈을 줍니다. 바로 신속한 보안 패치 적용의 중요성입니다. 아무리 강력한 보안 솔루션을 도입하더라도, 소프트웨어 자체에 존재하는 취약점을 방치한다면 모든 방어 체계는 무용지물이 될 수 있습니다.
패치되지 않은 시스템의 위험성과 보안 패치의 중요성
소프트웨어 개발사는 보안 취약점이 발견되면 이를 해결하기 위해 보안 패치를 배포합니다. 그러나 많은 기업이 서비스 중단에 대한 우려나 내부 자원 부족 등의 이유로 패치 적용을 미루는 경우가 많습니다. 공격자들은 바로 이 '시간차'를 노립니다. 'ToolShell'과 같은 익스플로잇 체인은 이미 알려졌지만 아직 패치되지 않은 'N-day 취약점'을 활용할 가능성이 매우 높습니다. 따라서 정기적이고 신속한 보안 패치 적용은 SharePoint 취약점 공격을 막는 가장 기본적인 동시에 가장 효과적인 방어 수단입니다. 이는 기업 보안의 기본 원칙이며, '프로젝트 AK47'과 같은 위협 앞에서 그 중요성은 더욱 커집니다.
프로젝트 AK47의 공격 기법과 랜섬웨어 작동 방식
‘프로젝트 AK47’은 다단계에 걸친 정교한 공격 시나리오를 통해 목표를 달성합니다. 공격의 핵심에는 ‘ToolShell’ 익스플로잇 체인이 있으며, 이를 통해 SharePoint 서버의 방어 체계를 체계적으로 무너뜨립니다. 공격의 최종 목표는 데이터를 암호화하고 금전을 요구하는 랜섬웨어 배포이지만, 그 과정은 매우 은밀하고 파괴적입니다.
초기 침투부터 권한 상승까지: ToolShell의 역할
공격은 인터넷에 노출된 SharePoint 서버의 취약점을 스캔하는 것부터 시작될 가능성이 높습니다. ‘Storm-2603’과 같은 공격 그룹은 자동화된 도구를 사용해 보안 패치가 적용되지 않은 서버를 식별합니다. 취약한 서버를 발견하면 ‘ToolShell’ 익스플로잇 체인을 이용해 공격을 시작합니다. 첫 단계에서는 원격 코드 실행 취약점 등을 이용해 서버에 대한 초기 접근 권한을 확보합니다. 이후, 로컬 권한 상승 취약점을 순차적으로 악용하여 시스템의 최고 관리자(Administrator/SYSTEM) 권한을 탈취합니다. 최고 권한을 획득한 공격자는 서버를 완전히 제어할 수 있게 되며, 보안 소프트웨어를 비활성화하거나 로그를 삭제하여 자신의 흔적을 지울 수 있습니다.
데이터 암호화와 금전 요구
서버 제어권을 완전히 장악한 공격자는 ‘프로젝트 AK47’ 도구 모음에 포함된 랜섬웨어 페이로드를 실행합니다. 이 랜섬웨어는 사전에 정의된 확장자를 가진 파일(예: .docx, .xlsx, .pdf, .db 등)을 찾아 강력한 암호화 알고리즘으로 잠급니다. 암호화가 완료된 파일은 접근이 불가능해지며, 기업의 업무는 즉시 마비됩니다. 이후 공격자는 서버의 바탕화면이나 각 폴더에 랜섬노트(Ransom Note)를 남깁니다. 이 노트에는 암호화된 파일을 복구하고 싶으면 지정된 시간 내에 특정 암호화폐(주로 비트코인이나 모네로)를 지불하라는 협박 메시지가 담겨 있습니다. 이는 전형적인 랜섬웨어 공격의 마무리 단계입니다.
단순 암호화를 넘어선 이중 갈취 위협
최근의 랜섬웨어 공격 그룹들은 단순히 데이터를 암호화하는 데 그치지 않고 ‘이중 갈취(Double Extortion)’ 전략을 사용합니다. ‘Storm-2603’과 같은 고도화된 그룹 역시 이 전략을 사용할 가능성이 높습니다. 이들은 랜섬웨어를 배포하기 전에 SharePoint 서버에 저장된 민감한 기업 데이터를 먼저 외부로 빼돌립니다. 만약 피해 기업이 몸값 지불을 거부할 경우, 공격자는 훔친 데이터를 다크웹에 공개하거나 경쟁사에 판매하겠다고 협박합니다. 이 경우 기업은 데이터 복구 실패와 더불어, 막대한 규모의 데이터 유출 사고까지 감당해야 하므로 피해가 훨씬 커지게 됩니다. 이는 기업 보안팀이 데이터 유출 방지(DLP) 전략까지 함께 고려해야 하는 이유입니다.
기업 보안 강화를 위한 필수 대응 전략
'프로젝트 AK47'과 같은 정교한 위협에 맞서기 위해서는 단편적인 보안 솔루션 도입을 넘어, 다층적이고 유기적인 기업 보안 전략을 수립하고 실행해야 합니다. 특히 SharePoint 서버와 같은 핵심 자산을 보호하기 위한 구체적이고 실천 가능한 방안이 필요합니다. 다음은 모든 기업이 즉시 검토하고 적용해야 할 핵심 대응 전략입니다.
1단계: 즉각적인 보안 패치 적용 및 관리 자동화
가장 중요하고 시급한 조치는 모든 SharePoint 서버 및 관련 시스템에 최신 보안 패치를 적용하는 것입니다. 'ToolShell'은 알려진 취약점을 악용할 가능성이 높으므로, 패치 관리 프로세스를 자동화하여 새로운 보안 패치가 배포되는 즉시 테스트하고 적용하는 체계를 구축해야 합니다. 이는 수동 작업으로 인한 지연이나 누락을 방지하는 가장 확실한 방법입니다.
2단계: 접근 제어 강화 및 다단계 인증(MFA) 의무화
SharePoint 서버에 대한 접근은 '최소 권한의 원칙'에 따라 반드시 필요한 사람에게만 허용해야 합니다. 관리자 계정은 엄격하게 관리하고, 모든 사용자 계정에 대해 다단계 인증(MFA)을 의무적으로 적용해야 합니다. MFA는 사용자 계정의 비밀번호가 유출되더라도 공격자가 시스템에 즉시 접근하는 것을 막아주는 매우 효과적인 보안 장벽입니다.
3단계: 네트워크 분리 및 마이크로세그멘테이션
중요 데이터가 저장된 SharePoint 서버는 일반 사용자 네트워크나 외부와 직접 연결되는 DMZ 구간과 물리적 또는 논리적으로 분리해야 합니다. 네트워크 마이크로세그멘테이션 기술을 도입하여 서버 간의 불필요한 통신을 차단하면, 만약 하나의 시스템이 침해되더라도 랜섬웨어가 내부 네트워크 전체로 확산되는 것을 효과적으로 지연시키거나 막을 수 있습니다.
4단계: '3-2-1 원칙'에 따른 백업 및 복구 훈련
모든 중요 데이터는 '3-2-1 백업 원칙'(최소 3개의 복사본을, 2개의 다른 미디어에, 1개는 오프사이트에 보관)에 따라 정기적으로 백업해야 합니다. 특히 백업 데이터 중 하나는 네트워크에서 완전히 분리된 오프라인 저장소(Air-gapped)에 보관하여 랜섬웨어 감염으로부터 보호해야 합니다. 또한, 실제 상황을 가정한 정기적인 복구 훈련을 통해 유사시 신속하게 시스템을 정상화할 수 있는지 검증해야 합니다.
5단계: EDR/XDR 기반의 지속적인 보안 모니터링
서버와 엔드포인트의 활동, 네트워크 트래픽, 로그 등을 실시간으로 모니터링하고 비정상적인 행위를 탐지할 수 있는 EDR(엔드포인트 탐지 및 대응) 또는 XDR(확장된 탐지 및 대응) 솔루션을 도입해야 합니다. 이러한 솔루션은 'ToolShell'과 같은 익스플로잇 시도나 랜섬웨어의 초기 파일 생성 움직임을 조기에 탐지하고 자동으로 차단하여 피해를 최소화할 수 있습니다.
프로젝트 AK47 대응 핵심 요약
- 위협 인지: '프로젝트 AK47'은 'ToolShell' 익스플로잇 체인을 사용하여 SharePoint 취약점을 노리는 고도화된 랜섬웨어 도구 모음입니다.
- 배후 그룹: 이 활동은 'Storm-2603'이라는 전문 위협 그룹과 연관되어 있어, 지속적인 위협으로 간주해야 합니다.
- 최우선 과제: 가장 시급한 조치는 모든 SharePoint 서버에 최신 보안 패치를 적용하는 것입니다.
- 다층 방어: MFA 도입, 네트워크 분리, 오프라인 백업, EDR/XDR 솔루션 활용 등 다층적인 방어 전략이 필수적입니다.
- 선제적 대응: 수동적인 방어를 넘어, 최신 위협 인텔리전스를 활용하고 정기적인 보안 훈련을 통해 능동적인 사이버 보안 태세를 갖춰야 합니다.
FAQ: 프로젝트 AK47 및 SharePoint 보안 관련 자주 묻는 질문
Q1: '프로젝트 AK47'은 기존 랜섬웨어와 무엇이 다른가요?
A: '프로젝트 AK47'은 단순히 파일을 암호화하는 단일 프로그램이 아닙니다. SharePoint 취약점을 악용하기 위한 'ToolShell'과 같은 특정 침투 도구, 백도어, 정보 유출 도구 등을 포함하는 포괄적인 '도구 모음(Toolset)'이라는 점에서 차별화됩니다. 이는 공격의 전 과정을 체계적으로 지원하여 성공률을 높이고, 'Storm-2603'과 같은 전문 그룹이 배후에 있다는 점에서 더욱 고도화된 위협으로 분류됩니다.
Q2: 우리 회사가 SharePoint를 사용 중인데, 가장 먼저 무엇을 확인해야 하나요?
A: 가장 먼저 Microsoft에서 배포한 최신 누적 업데이트(Cumulative Update) 및 보안 패치가 서버에 모두 적용되었는지 확인해야 합니다. 패치 상태 점검 후에는 관리자 권한을 가진 계정 목록을 검토하고, 불필요한 계정은 비활성화해야 합니다. 또한, 모든 사용자, 특히 관리자 계정에 다단계 인증(MFA)이 적용되어 있는지 즉시 확인하고 미적용 시 즉시 도입해야 합니다.
Q3: 'Storm-2603'은 어떤 종류의 위협 그룹인가요?
A: 'Storm-2603'은 팔로알토 네트웍스 Unit 42가 추적하는 위협 행위자 그룹으로, 높은 수준의 기술력과 조직력을 갖춘 것으로 평가됩니다. 이러한 그룹은 특정 목표(예: 특정 산업군, 국가)를 가지고 장기간에 걸쳐 지속적으로 공격을 시도하는 APT(지능형 지속 위협) 그룹이거나, 금전적 이득을 극대화하려는 전문 사이버 범죄 조직일 수 있습니다. 이들의 등장은 공격이 더욱 정교하고 집요해질 것을 의미하므로, 기업 보안에 대한 경각심을 높여야 합니다.
Q4: 보안 패치 외에 기업 보안 강화를 위해 중요한 것은 무엇인가요?
A: 보안 패치는 기본 중의 기본입니다. 그 외에도 강력한 기업 보안 체계를 구축하기 위해서는 ▲모든 계정에 대한 다단계 인증(MFA) 적용 ▲네트워크 분리를 통한 내부 확산 방지 ▲주기적인 오프라인 백업 및 복구 훈련 ▲EDR/XDR 솔루션을 통한 실시간 위협 탐지 및 대응 ▲임직원을 대상으로 한 최신 피싱 및 사회 공학 공격에 대한 정기적인 보안 교육이 반드시 병행되어야 합니다.