마이크로소프트, 악성코드 서명 서비스 차단

“마이크로소프트의 발 빠른 대응이 사이버 범죄 생태계에 균열을 일으켰다.”

최근 마이크로소프트(Microsoft)가 수천 대의 컴퓨터와 네트워크를 감염시킨 랜섬웨어 공격의 배후에 있는 악성코드 서명 서비스(Malware-Signing-as-a-Service, MSaaS) 운영을 성공적으로 중단시켰다는 소식이 전해졌습니다.

이번 조치는 ‘Fox Tempest’라는 이름으로 활동하는 위협 그룹이 마이크로소프트의 ‘Artifact Signing(구 Azure Trusted Signing)’ 시스템을 악용하여 악성 코드를 정상적인 소프트웨어처럼 위장해 유포한 행위를 차단하기 위한 것으로, ‘OpFauxSign’이라는 작전명으로 진행되었습니다.

이는 정상적인 소프트웨어 서명 메커니즘이 어떻게 사이버 범죄에 악용될 수 있는지, 그리고 이를 막기 위한 보안 업계의 노력이 얼마나 중요한지를 여실히 보여줍니다.

핵심 이슈 및 배경

이번 사태의 중심에는 ‘Fox Tempest’라는 이름의 위협 그룹이 있습니다.

이들은 2025년 5월부터 활동을 시작하여, 마이크로소프트의 ‘Artifact Signing’ 시스템을 무기로 삼아 악성코드 서명 서비스를 제공해왔습니다.

‘Artifact Signing’은 개발자가 합법적이고 변조되지 않은 소프트웨어를 배포할 수 있도록 지원하는 마이크로소프트의 종단간 서명 솔루션입니다.

그러나 ‘Fox Tempest’는 이 시스템을 악용하여 72시간 동안만 유효한 단기 코드 서명 인증서를 부정하게 발급받았습니다.

이 인증서는 마치 합법적인 소프트웨어처럼 악성 코드에 서명하는 데 사용되었고, 이는 보안 시스템을 우회하여 랜섬웨어 및 기타 악성 소프트웨어를 정상 프로그램으로 위장시키는 결과를 초래했습니다.

마이크로소프트 디지털 범죄 부서의 스티븐 마사다는 “서비스를 방해하기 위해 ‘Fox Tempest’의 웹사이트 signspace[.]cloud를 압수하고, 운영에 사용된 수백 개의 가상 머신을 오프라인으로 전환했으며, 기반 코드를 호스팅하는 사이트 접근을 차단했다”고 밝혔습니다.

이러한 조치는 ‘Fox Tempest’가 제공한 서비스가 Rhysida 랜섬웨어, Oyster, Lumma Stealer, Vidar 등 다양한 악성코드의 유포에 결정적인 역할을 했음을 시사합니다.

나아가, 이 위협 그룹은 INC, Qilin, BlackByte, Akira와 같은 유명 랜섬웨어 계열과도 연관성을 가지고 있음이 밝혀졌습니다.

이들의 공격은 미국, 프랑스, 인도, 중국 등지의 의료, 교육, 정부, 금융 서비스 분야를 표적으로 삼았습니다.

상세 비교 분석

‘Fox Tempest’의 MSaaS 운영은 사이버 범죄 생태계에서 ‘서비스형’ 모델이 어떻게 진화하고 있는지를 보여주는 사례입니다.

과거에는 개별 공격 그룹이 자체적으로 악성코드를 개발하고 유포하는 방식이 주를 이루었다면, 이제는 전문적인 서비스 제공 업체를 통해 기술적 전문성이 부족한 범죄자들도 쉽게 공격을 수행할 수 있게 되었습니다.

특히, 합법적인 코드 서명 인증서를 부정하게 획득하여 악성코드를 정상 소프트웨어로 위장하는 방식은 보안 솔루션의 탐지를 어렵게 만듭니다.

아래 표는 ‘Fox Tempest’의 MSaaS 운영 방식과 기존의 악성코드 유포 방식을 비교 분석한 것입니다.

‘Fox Tempest’는 2026년 2월부터는 Cloudzy에서 호스팅되는 사전 구성된 가상 머신(VM)을 제공하는 방식으로 전환했습니다.

이는 고객이 필요한 악성 파일을 직접 업로드하고 서명된 바이너리를 받아볼 수 있도록 하여, 고객에게는 편리성을, ‘Fox Tempest’에게는 운영 보안을 강화하는 결과를 가져왔습니다.

이러한 인프라의 진화는 대규모로 악성 코드를 전달하는 과정을 더욱 간소화했습니다.

시장 파급 효과 및 전망

이번 마이크로소프트의 조치는 사이버 범죄 생태계에 상당한 타격을 줄 것으로 예상됩니다.

특히, 합법적인 서명 시스템을 악용한 공격 방식의 차단은 유사한 공격 시도를 억제하는 효과를 가져올 수 있습니다.

그러나 ‘Fox Tempest’가 다른 코드 서명 서비스로 전환을 시도하거나, 유사한 방식으로 서비스를 재개할 가능성도 배제할 수 없습니다.

따라서 보안 업계는 이러한 위협에 대한 지속적인 감시와 대응책 마련이 시급합니다.

한국 시장의 경우, 마이크로소프트 제품 및 클라우드 서비스를 광범위하게 사용하는 만큼 이번 사태는 국내 기업들에게도 중요한 시사점을 제공합니다.

정상적인 소프트웨어 업데이트나 파일 다운로드 과정에서 악성코드가 유포될 수 있다는 점을 인지하고, 최신 보안 패치 적용, 신뢰할 수 없는 출처의 파일 실행 금지, 그리고 엔드포인트 탐지 및 대응(EDR) 솔루션 도입 등을 통해 방어 체계를 강화해야 합니다.

또한, 클라우드 환경에서 보안 설정을 철저히 관리하는 것이 더욱 중요해졌습니다.

관련 기술 트렌드 더 보기

특히, 이번 사건에서 사용된 Rhysida 랜섬웨어와 같은 위협은 의료, 교육, 금융 등 중요 인프라를 타겟으로 삼고 있어, 국내에서도 이러한 분야의 사이버 보안 강화는 최우선 과제가 될 것입니다.

만약 국내에서도 유사한 MSaaS 서비스가 등장하거나 악용된다면, 이는 단순히 기업의 피해를 넘어 국가 안보와 직결될 수 있는 문제입니다.

전문가 통찰 및 한줄평 (Insight)

“기술은 양날의 검이며, 보안은 끊임없는 추격전이다.”

마이크로소프트의 ‘OpFauxSign’ 작전 성공은 고무적이지만, 사이버 범죄자들의 창의성과 적응력은 상상을 초월합니다.

‘Fox Tempest’와 같은 위협 그룹은 정상적인 시스템을 악용하는 방식으로 공격의 복잡성을 낮추고 성공률을 높이려 합니다.

이번 사례는 단순히 코드를 서명하는 기술뿐만 아니라, 신원 확인, 접근 제어, 그리고 클라우드 인프라 보안 등 전반적인 보안 체계의 중요성을 강조합니다.

향후에는 AI를 활용한 더욱 정교한 공격과 방어가 병행될 것이며, 이에 대한 대비가 필수적입니다.

보안 담당자는 물론, 일반 사용자들까지도 이러한 위협의 존재를 인지하고 경각심을 가지는 것이 중요합니다.

자주 묻는 질문 (FAQ)

Q: 마이크로소프트의 ‘Artifact Signing’ 시스템은 정확히 무엇인가요?

A: ‘Artifact Signing’은 개발자가 자신의 소프트웨어가 변조되지 않았음을 증명하고 사용자에게 신뢰를 제공할 수 있도록 돕는 마이크로소프트의 코드 서명 서비스입니다.

이를 통해 소프트웨어의 무결성과 출처를 확인할 수 있습니다.

Q: ‘Fox Tempest’가 악성코드 서명 서비스를 제공한 주요 이유는 무엇인가요?

A: ‘Fox Tempest’는 자신들의 웹사이트(signspace[.]cloud)를 통해 다른 범죄자들이 악성코드를 합법적인 소프트웨어처럼 위장하여 유포할 수 있도록 돕는 ‘서비스형’ 비즈니스를 운영했습니다.

이는 범죄의 진입 장벽을 낮추고 수익을 창출하기 위한 목적입니다.

Q: 이번 마이크로소프트의 조치가 한국 시장에 미칠 영향은 무엇인가요?

A: 한국의 많은 기업이 마이크로소프트의 클라우드 서비스와 소프트웨어를 사용하기 때문에, 이번 사례는 국내 기업들에게도 보안 의식을 높이고 엔드포인트 보안 및 클라우드 보안 강화의 필요성을 일깨워줍니다.

또한, 유사한 공격이 국내에서 발생하지 않도록 경각심을 가지고 대비해야 합니다.

Q: 앞으로 이러한 유형의 악성코드 서명 공격을 어떻게 예방할 수 있나요?

A: 사용자 측면에서는 신뢰할 수 없는 출처에서 파일을 다운로드하거나 실행하지 않는 것이 중요하며, 백신 및 보안 소프트웨어를 최신 상태로 유지해야 합니다.

기업은 다단계 인증(MFA) 적용, 소프트웨어 공급망 보안 강화, 그리고 지속적인 보안 감사 등을 통해 방어 체계를 더욱 견고히 해야 합니다.