전 세계적으로 디지털 전환과 원격 근무 확산이 가속화되면서, 기업 시스템을 노린 사이버 공격이 증가하고 있다. 특히 원격 모니터링 및 관리 소프트웨어를 악용해 기업 내부 시스템에 침투하는 방식은 금융, 의료, IT, 정부 등 산업 전반에서 주요 위협으로 떠오르고 있다. 공격자는 합법적인 원격 관리 도구와 윈도우 내장 프로그램을 이용해 탐지를 피하고, 피싱 이메일 및 가짜 소프트웨어 설치 프로그램을 통한 악성코드 유포를 활발히 진행하고 있다.

이러한 환경에서 보안 위협 탐지와 대응 시간을 단축하고, 사전 예방을 위한 위협 인텔리전스 활용이 기업 보안 강화의 핵심 과제로 부각되고 있다.

악성코드 분석 및 위협 인텔리전스 플랫폼 기업 애니런(ANY.RUN)은 ‘2025년 7월 사이버 위협 보고서’를 발표했다. 이번 보고서에 따르면 7월 한 달 동안 가장 활발하게 활동한 위협에는 디어스틸러(DeerStealer) 캠페인, 가짜 7-Zip 설치 프로그램, 스네이크 키로거(Snake Keylogger)가 포함됐다.

디어스틸러는 난독화된 .LNK 바로가기를 통해 확산되고, mshta.exe와 파워셀(PowerShell)을 이용해 기본 방어 체계를 회피한 뒤 은밀히 페이로드를 전송한다. 가짜 7-Zip 설치 프로그램은 액티브 디렉토리(Active Directory)의 ntds.dit 및 SYSTEM 하이브 파일을 추출해 권한 상승과 도메인 전체 침해를 시도하는 것으로 확인됐다. 스네이크  키로거는 금융 서비스 부문을 중심으로 공격을 확대했으며, 다단계 난독화, LOLBins, 레지스트리 변경을 이용해 지속성과 은폐성을 강화하고 있다.

합법적인 원격 모니터링 및 관리 SW 악용 증가

보고서에 따르면 공격자들은 합법적인 원격 모니터링 및 관리 소프트웨어를 악용하는 비율이 증가하고 있다. 스크린 커넥트(ScreenConnect), 울트라VNC(UltraVNC), 넷서포트(NetSupport), PDQ 커넥트(PDQ Connect), 아테라(Atera)와 같은 툴이 공격 경로로 활용되고 있으며, IT 부서가 원격 접속과 내부 이동에 사용하는 경로를 그대로 따라가 내부 시스템 침투에 성공하는 사례가 늘고 있다.

또한 사이버 범죄자들은 탐지 회피를 위해 윈도우 내장 도구를 광범위하게 사용하고 있다. 이와 같은 공격은 조직의 주요 자산에 대한 무단 접근과 데이터 탈취, 시스템 장애로 이어질 수 있으며, 산업별 피해 규모를 확산시키고 있다.

애니런은 자사의 맬웨어 분석 및 위협 인텔리전스 솔루션을 활용해 이번 보고서에 포함된 위협을 식별했다고 밝혔다. 이 플랫폼은 위협 탐지 속도를 높이고 평균 탐지 시간(MTTD)을 단축해, 기업이 피해를 입기 전에 공격을 탐지할 수 있도록 지원한다.

또한 공격이 시스템에서 수행하는 모든 행동을 가시화해 보안 담당자가 추측 없이 위협을 파악할 수 있도록 돕는다. IOC 정보에 즉시 접근해 SIEM 시스템을 강화하고 신속한 대응을 지원하며, 자동화된 분석으로 보안 분석가의 수동 작업 부담을 줄여 침해, 데이터 손실, 비즈니스 중단 위험을 낮춘다. 추가로 내부 보안팀과 고객, 규제기관을 위한 상세 보고서 공유 기능도 제공한다.

이번 보고서는 사이버 범죄자들이 합법적인 툴과 위장 기법을 통해 보안 체계를 우회하고 있는 현황을 보여준다. 기업은 위협 인텔리전스를 기반으로 한 탐지·분석·대응 체계를 강화하고, 원격 관리 툴과 소프트웨어 배포 채널에 대한 보안 점검을 강화해야 한다. 

[알림] GTT KOREA GTT SHOW는 오는 8월 12일 오후 2시부터 3시까지 “피해 큰 BPF Door 같은 커널 기반 악성코드 막는 EDR과 마이크로세그멘테이션 실전 보안 전략”을 주제로 웨비나를 진행합니다. BPF Door 같은 커널 기반의 악성코드가 사용하는 공격 기법과 침투 단계별 위협의 소개, EDR과 마이크로세그멘테이션이 어떻게 상호보완적으로 작동하여 침입 초기 탐지부터 내부 확산 차단까지 이어지는 보안 체계의 구축 전략과 새로운 형태의 변종 공격에 유연하게 대응하는 제로 트러스트 기반 보안 전략을 실전 사례와 함께 제시합니다.