본문으로 건너뛰기
아티클
2026년 6월 1일14분 소요
Threat IntelligenceInvestigationsDark WebIranOptiv

미국 인프라를 노리는 이란 위협 행위자 식별

Intrace Team 프로필 아이콘Intrace Team

Intrace가 Optiv 컨설턴트의 데스크톱 호스트명을 Water Black 다크웹 데이터에서 탐지하면서, 조사는 이란 연계 인프라, 파킹 도메인 비커닝, 그리고 고가치 보안 전문가를 노린 다단계 침해를 밝혀냈습니다.

파란색과 빨간색 표시등이 켜진 데이터센터의 서버 랙

7월, 한 Optiv 직원은 Intrace를 통해 자신의 개인 워크스테이션이 "Water Black"으로 불리는 멀웨어 그룹과 연관된 다크웹 데이터에 등장한다는 사실을 알게 되었습니다. 그의 데스크톱 호스트명이 Intrace가 모니터링하는 지하 데이터 소스에서 관찰되었는데, 이는 해당 기기가 침해되었을 뿐만 아니라 고가치 표적으로 분류되었음을 시사했습니다. 이러한 분류는 그의 역할과 일치했습니다. 그는 이전에 대형 랜섬웨어 사건의 침해 대응 업무를 이끈 바 있어, 보복이나 방어 기법에 대한 정보에 관심 있는 위협 행위자들에게 매력적인 표적이었습니다.

다크웹에서의 발견과 호스트명 노출

조사의 출발 신호는 단순하지만 심각했습니다. Intrace의 다크웹 모니터링이 Water Black과 연결된 데이터에서 해당 컨설턴트의 데스크톱 호스트명을 탐지한 것입니다.

호스트명은 네트워크상의 기기를 사람이 읽을 수 있게 표시한 레이블입니다(예: JOHN-DESKTOP 또는 CORP-LAPTOP-01). 위협 행위자의 자료에서 호스트명이 발견된다는 것은 대개 공격자가 해당 기기나 그 환경에 최소한 어느 정도의 접근 권한을 확보했다는 뜻입니다. 일반적인 IP 주소나 익명화된 피해자 언급만 보이는 것이 아니라 특정 데스크톱의 호스트명이 등장한다는 것은, 무작위 인터넷 스캐너에 걸린 것이 아니라 그 기기 자체가 공격 캠페인의 일부였다는 강력한 지표입니다.

인프라 연결 고리

초기 분류 과정에서 Intrace는 Water Black 언급을 인터넷에 노출된 인프라와 연관 지었습니다. 팀은 인터넷상에서 waterblack이라는 호스트명을 가진 단일 호스트를 식별했는데, 이는 이란이 지배하는 업체 소유의 와이오밍 데이터센터에 호스팅되어 있었습니다. 이 시점에서 확인된 사실은 다음과 같습니다.

  • 호스팅 회사는 RouterHosting, LLC였으며, 이후 Cloudsy로 사명을 변경했습니다.
  • 이 동일한 업체는 공개 보고서에서 여러 정부 연계 해킹 그룹을 지원하는 것으로 지목된 바 있어, 이것이 무작위적인 일반 멀웨어 인프라가 아니라 보다 조직화된 작전의 일부일 가능성을 높였습니다.

이것이 중요한 이유는 인프라 귀속이 침입 분석의 핵심이기 때문입니다. 특정 업체나 데이터센터가 국가 연계 그룹과의 과거 연관성을 갖고 있는 상태에서 그곳에 새로운 의심스러운 도메인이나 서버가 나타나면, 단순한 기회주의적 범죄자가 아니라 고도화된, 어쩌면 정부와 연계된 위협 행위자를 상대하고 있다는 확신이 높아집니다.

DNS와 트래픽 패턴

워크스테이션 자체에 대해서는 Intrace가 아웃바운드 연결과 DNS 질의 패턴을 조사했습니다. 몇 주에 걸쳐 이 기기는 새로 등록된 "파킹(parked)" 도메인들에 빈번하게 연결하고 있었습니다. 그 도메인들 중 다수가 이란 소유와 연결된 동일한 호스팅 업체의 인프라로 해석(resolve)되었습니다.

파킹 도메인이란 등록은 되어 있지만 실제 웹사이트로 활발히 사용되지 않는 도메인 이름입니다. 일반적으로 기본 안내 페이지나 광고를 표시합니다. 공격자들이 파킹 도메인이나 거의 비어 있는 도메인을 즐겨 사용하는 이유는 다음과 같습니다.

  • 저렴하고 대량으로 등록하기 쉽습니다.
  • 대충 살펴봐서는 대체로 무해해 보입니다.
  • 차단을 회피하기 위해 새로운 서버로 빠르게 다시 연결할 수 있습니다.

반복적인 연결 패턴은 비커닝(beaconing) 행위를 시사했습니다. 침해된 호스트가 지시나 업데이트를 받기 위해 공격자가 통제하는 인프라에 정기적으로 접속하는 것입니다. 이는 명령제어(C2) 멀웨어의 흔한 설계로, 감염된 기기가 주기적으로 원격 서버에 접속해 상태를 보고하고 명령을 수신합니다.

즉각적인 방어 조치로 컨설턴트는 네트워크 수준에서 파킹 도메인에 대한 접근을 차단했습니다. 이는 분석적 관점에서 흥미로운데, 주요 C2 채널을 끊어 버리면 멀웨어가 대체 메커니즘, 설정 오류, 오류 동작을 드러내도록 강제하는 경우가 많기 때문입니다. 그리고 바로 그 일이 다음에 일어났습니다.

"MicrosoftSecurityApp.exe"의 충돌

파킹 도메인을 차단한 지 며칠 만에 워크스테이션에서 MicrosoftSecurityApp.exe라는 이름의 프로세스가 충돌했습니다.

이 바이너리 이름은 여러 이유로 의심스럽습니다.

  • 잘 알려진 문서화된 제품과 일치하지 않으면서도 그럴듯한 Microsoft 보안 구성 요소를 흉내 내고 있습니다.
  • 멀웨어는 정상적인 시스템 프로세스에 섞여 들기 위해 가짜이거나 오해를 유발하는 파일명을 흔히 사용합니다(예: 이름에 "Microsoft", "Security", "Update", "Service"를 추가).

아웃바운드 연결이 차단된 직후에 발생한 충돌은, 이 프로세스가 C2 도메인에 접속을 시도하다 실패한 멀웨어의 핵심 에이전트였거나, 아웃바운드 통신의 성공에 의존하다가 그 통신이 끊기자 충돌한 로더 또는 감시(watchdog) 프로세스였음을 시사합니다. 분석적 관점에서 이는 스트레스 상황에서의 전형적인 행동 사례입니다. C2가 차단되면 고도화된 멀웨어는 충돌하거나, 재시작하거나, 백업 채널로 전환하거나, 로컬 지속성 메커니즘을 더 공격적으로 시도할 수 있습니다.

로컬 지속성의 단서

충돌한 MicrosoftSecurityApp.exe를 처리한 후, 워크스테이션은 게임 오버레이와 화면 캡처에 주로 사용되는 Windows 내장 구성 요소인 Game Bar를 실행하려고 시도했습니다. 컨설턴트는 의심스러운 동작 때문에 이전에 Game Bar를 비활성화해 둔 상태였으므로, 이 재활성화 시도는 주목할 만했습니다.

Windows 레지스트리에서 Game Bar는 AppX로 시작하는 항목 아래에서 참조되고 있었습니다. 다른 AppX 항목들은 FTP와 SSH를 가리키고 있었습니다.

AppX는 최신 Windows 스토어 앱을 위한 Microsoft의 패키징 형식입니다. 멀웨어는 때때로 앱 컨테이너 메커니즘, 예약 작업, AppX 매니페스트를 지속성 확보에 악용할 수 있습니다. FTP(파일 전송 프로토콜)와 SSH(보안 셸)는 표준 프로토콜입니다. FTP는 종종 평문으로 파일을 전송하는 데 사용되고, SSH는 암호화된 원격 로그인과 터널링에 사용됩니다.

서버 역할을 할 이유가 없는 개인 워크스테이션에서 FTP와 SSH를 가리키는 AppX 항목이 발견되는 것은 이상한 일입니다. 이는 멀웨어가 원격 FTP/SSH 엔드포인트와 상호작용하는 앱 형태의 개체나 예약 작업을 등록했거나, 파킹 도메인 기반 HTTP/HTTPS C2와는 별개로 데이터 유출이나 명령 수신을 위한 대체 채널을 구축했을 가능성을 시사합니다.

Game Bar를 다시 활성화하거나 실행하려는 시도는, 화면 녹화나 사용자 감시를 위해 Game Bar의 오버레이 및 캡처 기능을 악용하거나, 명백히 악성인 바이너리의 사용을 줄이기 위한 자급자족형(living-off-the-land) 전략의 일환으로 정상적인 Windows 구성 요소를 이용하려는 것일 수 있습니다.

네트워크 아티팩트: TCP 22와 "GhostContainer" 연결 고리

이 기간에 컨설턴트는 52.98.240.82 주소로 향하는 포트 22의 TCP 연결을 관찰했습니다.

TCP 포트 22는 거의 보편적으로 SSH와 연관됩니다. 해당 IP는 정상적인 인프라(예: 클라우드 또는 SaaS 제공업체)와 연결되어 있지만, 온라인 논의에서는 "GhostContainer"라는 것과 연관 지어진 바 있었습니다. GhostContainer는 보안 연구자들이 문서화한, Microsoft Exchange 서버를 노리는 백도어입니다. 공격자에게 명령 실행과 측면 이동(lateral movement) 능력을 포함해 Exchange 환경에 대한 지속적인 원격 접근을 제공합니다.

컨설턴트의 기기는 Exchange 서버가 아니었지만, GhostContainer 보고와 연결된 주소로 TCP 22에서 SSH 유사 동작이 있었다는 사실과, 해당 호스트가 이전에 국가 연계 인프라와 묶인 의심스러운 도메인들로 비커닝하고 있었다는 사실은, 이 워크스테이션이 다른 곳에서 GhostContainer를 배포하는 동일한 행위자들이 사용하는 더 넓은 도구 세트의 일부였거나, 신뢰받는 엔드포인트에서 Exchange 측 작전을 모니터링하거나 관리하기 위한 중간 거점 또는 관찰 노드로 사용되었을 가능성을 시사합니다.

이는 고가치 표적 침해의 패턴과 일치합니다. 단순히 파일을 훔치는 것이 아니라, 공격자들은 기업 시스템이 강화되는 와중에도 피벗하고, 침해 대응 활동을 관찰하고, 접근을 유지하는 데 사용할 수 있는 신뢰받는 기기를 그 환경 안에 확보하려 했을 가능성이 있습니다.

악성 루트 인증서 설치 시도

컨설턴트는 또한 악성 루트 인증 기관(Root CA) 설치 시도가 있었던 것을 기억해 냈습니다.

이는 결정적인 세부 사항입니다. 루트 CA 인증서는 운영 체제와 브라우저가 암호화된 연결(예: HTTPS)을 신뢰할 수 있는지 판단하는 데 사용하는 기준점 중 하나입니다. 공격자가 자신의 악성 루트 인증서를 시스템에 설치하는 데 성공하면 다음이 가능해집니다.

  • 원래는 안전한 TLS 트래픽(예: 웹메일, 대시보드, 관리자 포털)을 가로채고 복호화할 수 있습니다.
  • 임의의 도메인(예: outlook.com, vpn.company.com)에 대한 가짜 인증서를 제시하고, 침해된 시스템에서 그것이 유효한 것으로 보이게 만들 수 있습니다.

실제로 이는 공격자가 인증서 경고를 발생시키지 않고 피해자의 연결에 대해 중간자(MITM) 공격을 수행하고, 침해 대응 이메일 체인, 티켓팅 시스템, 기타 기밀 교신을 포함한 민감한 통신을 읽거나 변조할 수 있게 해 줍니다. 루트 CA 설치 시도는 단기간의 탈취형 공격이 아니라 지속과 감시의 의도를 보여 주는 강력한 지표입니다.

왜 이 사람이 표적이 되었는가

피해자는 무작위로 선택된 것이 아닙니다. Intrace가 다크웹 언급과 맥락을 검토한 결과, 그는 명시적으로 고가치 표적으로 분류되어 있었습니다. 이 지위는 그가 이전에 대형 랜섬웨어 사건에서 수행한 침해 대응 업무에서 비롯되었을 가능성이 높습니다.

공격자의 관점에서, 방어 체계와 대응 절차에 깊은 가시성을 가진 사람을 침해하면 방어자들이 특정 침입을 어떻게 탐지하고 대응하는지에 대한 정보, 과거 자신들의 작전을 방해했던 사람에 대한 잠재적 압박 수단이나 보복, 그리고 가치 있는 연락망과 문서에 대한 접근을 얻을 수 있습니다. 그러한 자료가 주로 회사 시스템에 있더라도, 개인 워크스테이션은 종종 우회 통로로 사용되기 때문입니다.

개인 표적화, 이란 연계 인프라, 파킹 도메인 비커닝, 악성 루트 CA 시도, 백도어 방식의 행동이 결합된 이 양상은 무작위적인 드라이브 바이 멀웨어가 아니라 의도적인 다단계 침입과 일치합니다.

Intrace는 조사를 어떻게 구조화했는가

Intrace의 관점에서 조사는 명확한 구조를 따랐습니다.

다크웹으로부터의 신호 수집

  • Water Black 관련 데이터에서 호스트명과 고가치 표적 분류를 탐지합니다.
  • 언급된 호스트가 Optiv 컨설턴트의 것임을 확인합니다.

인프라 상관관계 분석

  • 와이오밍의 이란 소유 데이터센터에서 waterblack 호스트를 찾아냅니다.
  • 동일한 업체로 해석되는 관련 파킹 도메인들을 매핑합니다.
  • 해당 호스팅 회사의 정부 연계 그룹 관련성에 대한 기존 보고와 교차 대조합니다.

호스트 텔레메트리와 행동 분석

  • 몇 주에 걸친 파킹 도메인으로의 아웃바운드 연결을 조사합니다.
  • MicrosoftSecurityApp.exe를 의심 프로세스로 식별하고, 네트워크 차단이 시행된 시점 전후의 동작을 분석합니다.
  • Game Bar, FTP, SSH에 대한 AppX 참조를 포함한 레지스트리 항목을 검토합니다.

네트워크 아티팩트와 외부 도구 연결 고리

  • 52.98.240.82로 향하는 TCP 22 트래픽과 GhostContainer 논의에서의 언급을 기록합니다.
  • 관찰된 행동이 백도어 또는 측면 이동 패턴에 부합하는지 평가합니다.

신뢰 및 암호화 무결성

  • 악성 루트 CA 설치 시도를 조사합니다.
  • 진행 중인 암호화 트래픽 가로채기의 위험을 평가합니다.

격리 및 보안 강화 권고

  • 워크스테이션을 민감한 환경으로부터 격리합니다.
  • 의심스러운 바이너리와 레지스트리 항목을 제거합니다.
  • 자격 증명을 재설정하고 다중 인증(MFA)을 강화합니다.
  • 새로운 파킹 도메인과 의심스러운 SSH 트래픽에 대한 모니터링과 함께 엄격한 DNS 및 이그레스(egress) 통제를 시행합니다.
  • 기기의 신뢰 인증서를 감사하고 승인되지 않은 CA를 모두 폐기합니다.

결과

다크웹 인텔리전스, 인프라 분석, 호스트 포렌식, 그리고 네트워크 아티팩트에 대한 신중한 해석을 결합함으로써, Intrace는 침해 경로를 재구성하고 Optiv 컨설턴트가 어떻게 이란 연계 위협 활동의 표적 피해자가 되었는지 규명할 수 있었습니다. 이 사건은 다음을 부각시켰습니다.

  • 보안 전문가가 사용하는 개인 기기가 전략적 표적이 될 수 있습니다.
  • 파킹 도메인과 잘 알려지지 않은 호스팅 업체가 은밀한 C2 인프라로 활용될 수 있습니다.
  • 악성 루트 인증서 설치 시도와 Game Bar 같은 Windows 내장 구성 요소의 악용은 일시적 소음이 아니라 장기적이고 은밀한 접근이라는 목표와 일치합니다.

Optiv는 이러한 발견을 활용해 사건을 격리하고, 컨설턴트의 환경을 강화하며, 다른 엔드포인트와 고객 전반에서 유사한 패턴을 찾도록 탐지 로직을 조정했습니다.