자, 이거 보세요. 누구나 겪어봤을 겁니다. 기업 공지나 공격적인 마케팅 캠페인 때문에 쏟아지는 이메일에 파묻혀, 받은 편지함이 디지털 쓰레기장처럼 느껴질 때 말이죠. UNC6692라는 신규 위협 행위자가 바로 이런 혼란을 무기로 삼고 있습니다. 매일 디지털 먼지에 파묻혀 사는 우리 대부분은, 공격자들이 제로데이 취약점 같은 은밀한 수법을 계속 연마하거나 아니면 랜섬웨어로 꿀꺽하는 방식을 쓸 거라고 예상했겠죠. 그런데 이들은? 이건 그냥 물량으로 증폭된 구식 심리전인데, 놀랍도록 효과적입니다.
UNC6692의 수법은… 솔직히 역겹도록 기발합니다. 일단 이메일 쓰나미부터 시작합니다. 단순히 몇 개의 스팸 메일이 아니라, 마치 디지털 히드라와 싸우는 듯한 압도적인 양의 메일을 퍼붓죠. 그리고 사용자가 허우적거리는 틈을 타, IT 부서 – 혹은 IT 부서인 척하는 누군가 – 가 마이크로소프트 팀즈에 짠 하고 나타나 이 혼란을 해결해 주겠다며 나섭니다. 길에 떨어진 식료품을 줍는 걸 도와주겠다며 접근하더니 지갑을 낚아채는 강도의 디지털 버전이라고 할 수 있죠.
이건 그냥 낡은 수법에 새 옷 입힌 건가?
바퀴를 재발명하려는 건 아니죠? IT 지원으로 위장하는 것? 흔하디 흔한 수법입니다. 가짜 로그인 페이지로 유인하는 것? 지겹습니다. 하지만 이 공격의 핵심은 바로 이 ‘조직력’입니다. 이 기사는 공격자들이 피해자의 브라우저(마이크로소프트 엣지라고 하는데, 좀 이상하지만, 디테일이 중요하겠죠)를 확인하고, 가짜 사서함 복구 유틸리티를 보여준다고 지적합니다. 이 유틸리티는 뒤에서 AutoHotKey 스크립트를 다운로드하고 실행하는데, 이 스크립트는 실제 페이로드인 ‘Snowbelt’라는 자바스크립트 기반 백도어를 설치합니다. 이건 마치 악성코드의 마트료시카 인형 같아서, 각 층은 사용자를 안심시키는 척하며 실제 피해를 입힙니다.
그리고 지속성은요? 오, 이 녀석들은 이것까지 고려했습니다. AutoHotKey 스크립트 바로가기가 윈도우 시작 프로그램 폴더에 던져집니다. 창 없는 엣지 프로세스가 Snowbelt를 로드하고, 혹시라도 나타날 수 있는 다른 헤드리스 엣지 프로세스를 무자비하게 사냥하도록 두 개의 예약된 작업이 생성됩니다. 디지털 감염이죠, 확실하게 뿌리내리게 하고 있습니다.
“UNC6692 캠페인은 현대 공격자들이 어떻게 소셜 엔지니어링과 기술적 회피를 결합하여 환경에 침투하는지를 보여줍니다. […] 공격자들은 신뢰할 수 있는 클라우드 플랫폼에 악성 구성 요소를 호스팅함으로써, 전통적인 네트워크 평판 필터를 우회하고 합법적인 클라우드 트래픽의 높은 볼륨 속에 숨을 수 있습니다.”라고 GTIG는 언급했습니다.
자, 이제 이야기가 흥미진진해지고, 솔직히 제 회의론이 최고조에 달하는 지점입니다. AWS S3 버킷에 호스팅한다고요? 신뢰할 수 있는 클라우드 플랫폼을 사용해 악성 트래픽을 숨긴다고요? 이건 그냥 백도어를 심는 수준이 아닙니다. 백도어를 최대한 보이지 않게 만드는 거죠. 숲에 숨는 게 아니라, 합법적인 비즈니스가 의존하는 인프라를 이용해 나무 속에 숨는 겁니다. 완전히 악랄하지만 똑똑한 수법이죠. 누가 이득을 보는 걸까요? 분명 UNC6692 배후 세력이고, 그들이 빼돌린 데이터를 사는 누군가일 겁니다. 진짜 질문은 우리가 계속 이걸 허용할 거냐는 겁니다.
‘Snow’ 악성코드는 정확히 뭘 할까?
Snowbelt로 일단 발을 들여놓으면, 진짜 재미가 시작됩니다. 더 많은 goodies – 더 많은 AutoHotkey 스크립트, ZIP 아카이브, 그리고 결정적으로 Snowglaze와 Snowbasin이라는 이름의 구성 요소들을 다운로드하기 시작하죠. Python 기반 터널러인 Snowglaze는 공격자의 명령 제어 서버로 안전한 WebSocket 터널을 생성합니다. 이건 마치 당신의 침해된 네트워크에서 그들의 악랄한 소굴로 향하는 개인 암호화 도로와 같습니다. SOCKS 프록시 작업을 용이하게 하는데, 이건 기본적으로 당신의 네트워크를 통해 트래픽을 라우팅해서 마치 당신이 하고 있는 것처럼 보이게 만듭니다. 그들에겐 편리하지만, 당신에겐 끔찍한 일이죠.
반면 Snowbasin은 지속적인 백도어 역할을 합니다. 로컬 HTTP 서버처럼 작동하며, 명령 실행, 스크린샷 캡처, 그리고 발견되는 모든 데이터를 빨아들이는 준비를 합니다. Snowbelt, Snowglaze, Snowbasin 전체가 조율된 공격입니다. 단순히 하나의 도구가 아니라, 사이버 범죄의 맥가이버 칼로서 초기 침투부터 내부망 이동, 그리고 궁극적으로 당신의 민감한 정보에 대한 심층 탐색까지 모든 것을 가능하게 합니다. 그들은 단순히 데이터를 훔치는 게 아니라, 당신의 디지털 왕국 전체를 지도화하고 있습니다.
내부망 이동은 특히 소름 끼칩니다. Snowglaze는 PsExec 세션을 시스템에 설정하고 관리자 계정을 열거하는 데 사용됩니다. 그런 다음, RDP를 통해 백업 서버로 이동하는데, 아마도 Snowglaze 터널을 이용할 겁니다. 거기서 LSASS 프로세스 메모리 – 자격 증명의 보고 – 를 덤프하고 LimeWire(네, 바로 그 LimeWire, 악성코드 데이터 유출 도구로 부활했다니 말입니다)를 사용해 빼돌립니다. 그 후 Pass-The-Hash 공격을 사용해 도메인 컨트롤러에 접근하고, FTK Imager와 같은 도구를 낚아채 AD 데이터베이스 파일, SAM, System, Security 레지스트리 하이브를 뽑아냅니다. 당신 네트워크의 가장 중요한 데이터에 대한 완전하고 체계적인 스트립 마이닝입니다.
왜 이 ‘Snow’ 캠페인이 우려스러운가?
이건 단순한 새로운 악성코드 이야기가 아닙니다. 방법론에 대한 이야기입니다. UNC6692는 구식 전술에 끊임없는 압도적인 접근 방식과 클라우드 인프라의 영리한 사용을 결합하면 여전히 엄청나게 강력할 수 있음을 증명하고 있습니다. 그들은 방화벽만 우회하는 게 아닙니다. 우리 인간의 압도당하고, 도움을 구하고, 익숙한 것을 신뢰하는 경향을 이용해 인간적인 요소를 우회하고 있습니다. 또한 합법적인 클라우드 트래픽에 녹아들어 전통적인 보안 도구가 그들을 감지하기 어렵게 만들고 있습니다. 심리적 조작과 기술적 회피의 정교한 조합이며, 단순히 새로운 백신을 설치하는 것 이상의 섬세한 방어가 필요할 것입니다.
초기 APT 공격 시대를 떠올리게 합니다. 그때는 인내심과 세심한 계획이 강조되었죠. 하지만 이건… 더 빨라진 느낌입니다. 훨씬 더 무차별 공격적이지만, 후반 단계에서는 외과의사의 정밀함을 보여줍니다. 액티브 디렉터리 데이터베이스를 직접 노린다는 사실은 솔직히 충격적일 정도로 야심 찬 수준을 보여줍니다. 그들은 빠른 돈벌이를 찾는 게 아니라, 내부에서부터 해체하려는 겁니다. 솔직히 말해서, 2000년대 초반의 잊혀졌던 P2P 파일 공유 애플리케이션을 데이터 유출에 사용한다는 점은, 때로는 가장 모호한 도구가 가장 위험해질 수 있다는 것을 극명하게 상기시켜 줍니다.
🧬 관련 인사이트
- 더 읽어보기: 체크포인트 2025 위협 인텔: 진짜 엣지인가, 메아리 방인가?
- 더 읽어보기: 해킹 복구: 빠르게 행동하거나 잃거나
자주 묻는 질문
‘Snow’ 악성코드는 무엇을 하나요?
‘Snow’ 악성코드는 UNC6692 위협 행위자가 사용하는 모듈식 프레임워크입니다. Snowbelt, Snowglaze, Snowbasin 구성 요소들이 협력하여 자격 증명을 탈취하고, 네트워크 내에서 내부망 이동을 하며, 데이터 유출을 위한 지속적인 백도어를 구축합니다.
UNC6692는 어떻게 피해자 시스템에 침투하나요?
UNC6692는 두 가지 접근 방식을 사용합니다. 첫째, 대량의 이메일을 피해자에게 퍼붓고, 둘째, 마이크로소프트 팀즈와 같은 플랫폼을 통해 IT 지원으로 위장하여 사용자가 유틸리티로 위장한 악성 코드를 다운로드하고 실행하도록 속입니다.
이 공격은 특정 기업을 대상으로 하나요?
이 글에서 특정 피해자는 언급되지 않았지만, 공격의 정교함으로 미루어 볼 때 귀중한 데이터를 보유한 조직, 즉 이러한 정교한 캠페인에 필요한 노력과 자원을 투입할 만한 대기업을 대상으로 했을 가능성이 높습니다.
