전체메뉴

[애플경제 이지향기자] MS 윈도우 CLFS(Common Log File System) 취약점이 랜섬웨어를 세계 각국에 무차별 살포시키는 수단이 되고 있다. 이미 많은 국가들이 상당한 피해를 입고 있어 각별한 주의가 요망되고 있다. CLFS, 즉 일반로그파일 시스템은 사용자 또는 커널 모드의 소프트웨어에서 사용할 수 있는 범용 로깅 시스템이다.

그러나 CLFS는 특히 CVE-2025-29824 취약점에 무방비 상태인 것으로 드러났다. 이에 MS의 보안 기구인 MTIC(Microsoft Threat Intelligence Center)는 블로그를 통해 “사용자 권한을 가진 공격자가 윈도우 CLFS의 취약점을 이용, 랜섬웨어를 유포할 수 있다”고 경고했다. MS는 특히 윈도우 CLFS의 제로데이 취약점을 발견했다.

문제의 제로데이 취약점은 랜섬웨어를 세계 도처에 살포하는 무기가 되고 있다. 이미 IT, 부동산, 금융, 소프트웨어, 소매업 등 산업 전반에 이를 살포하고 있으며, 미국, 스페인, 베네수엘라, 사우디아라비아 등의 기업들이 이미 피해를 본 것으로 알려져있다. 사실상 전 세계를 대상으로 한 만큼 국내 보안업체와 기업들도 만전을 기해야 한다는 주문이다.

미국, 스페인, 남미, 중동 등 피해, “국내도 만전 기해야”

취약점 등급 ‘중요’ 단계로 판정된 CVE-2025-29824는 CLFS 커널 드라이버에 존재한다. 이는 시스템에 대한 표준 사용자 접근 권한을 이미 보유한 공격자가 로컬 권한을 상승시킬 수 있도록 한다. MTIC 블로그 게시물에 따르면, 공격자는 이러한 접근 권한을 이용, “컴퓨팅 환경에서 랜섬웨어를 광범위하게 배포하고 공격할 수 있다”는 것이다.

CFLS 드라이버는 본래 트랜잭션 로그를 작성하기 위한 윈도우의 필수 요소다. 이를 악용하면 공격자가 시스템 권한을 획득할 수 있다. 이를 통해 데이터를 훔치거나 백도어를 설치할 수도 있다. 그 동안 MS는 CFLS의 권한 상승 취약점을 자주 발견하며, 마지막 취약점은 12월에 패치되었다.

MS가 관찰한 CVE-2025-29824 악용 사례를 보면, 해커들은 이 취약점을 악용, 권한을 상승시키기 직전에 소위 ‘PipeMagic’ 맬웨어를 배포했다. ‘PipeMagic’은 해커들에게 시스템에 대한 원격 제어권을 제공, 명령을 실행하거나 더 많은 악성 도구를 설치할 수 있도록 하는 무기가 되고 있다.

이번 공격의 배후, 러시아 국적 해커들?

MS는 특히 ‘PipeMagic’과 랜섬웨어를 이용, 취약점을 악용하는 위협 행위자로 ‘Storm-2460’을 지목하고, 이를 랜섬FXX(RansomEXX) 그룹과 연관지었다. 이는 한때 ‘Defray777’로 알려지며 2018년 등장 이후 악명을 떨쳤다. 미국 텍사스주 교통부, 브라질 정부, 대만 하드웨어 제조업체 기가바이트 등 주요 기관과 기업들을 공격해 왔다. 이 그룹은 러시아 국적자와 연계된 것으로 알려졌다.

미국 사이버 기관(CVE)은 CVE-2025-29824에 대해 ‘중요’ 등급인 7.8 등급으로 매겨악용 취약점 목록에 추가했다. 또 미 연방 민간 기관들은 4월 29일까지 패치를 적용하도록 했다.

일단 MS는 8일, 윈도우11, 윈도우 서버 2022, 윈도우 서버 2019의 취약점을 패치하는 보안 업데이트를 출시했다. 윈도우 10 x64 기반 및 32비트 시스템은 아직 수정을 기다리고 있다. 그러나 MS는 “가능한 한 빨리 수정 사항을 발표할 것”이라며, “수정 사항이 발표되는 즉시 해당 CVE 정보의 수정 사항을 통해 고객에게 통지할 것”이라고 밝혔다.

다만 “윈도우11 버전 24H2 이상을 실행하는 기기는 취약점이 존재하더라도 이러한 방식으로 악용될 수 없다”며 “필요한 시스템 정보에 대한 접근은 ‘SeDebugPrivilege’ 권한을 가진 사용자로 제한되는데, 이는 일반 사용자에게는 제공되지 않는 접근 권한 수준”이라고 공지했다.

“Certutil는 프로덕션 코드 사용 자제” 당부도

MS는 또 해커들이 ‘certutil’ 명령줄 유틸리티를 사용, 악성 ‘MSBuild’ 파일을 피해자 시스템에 다운로드하는 움직임도 포착했다. 특히 ‘Certutil.exe’는 인증서 서비스의 일부로 설치되는 명령줄 프로그램이다. ‘certutil.exe’를 사용해 CA(인증 기관) 구성 정보를 표시하고, 인증서를 구성하며, CA 구성 요소를 백업하고 복원할 수 있다. 이는 인증서, 키 쌍 및 인증서 체인도 확인한다. 그러나 최근엔 “Certutil는 프로덕션 코드에서 사용하지 않는 것이 좋으며, 라이브 사이트 지원이나 애플리케이션 호환성도 보장하지 않는다”는 경고도 있어 유의할 필요가 있다.

‘certutil’ 명령줄 유틸리티러 다운로드된 악성 ‘MSBuild’는 암호화된 ‘PipeMagic’ 페이로드를 포함하고 있다. 이 파일은 한때 합법적이었던 제3자 웹사이트에서 사용할 수 있었다. 그 때문에 지금도 맬웨어를 호스팅하기 위해 해킹되기도 한다. MS는 특히 “‘PipeMagic’이 통신한 도메인 중 하나는 aaaaabbbbbbb.eastus.cloudapp.azure[.]com이었으며, 현재 비활성화되었다”고 밝히며 주의를 당부했다.

이에 따르면 ‘PipeMagic’이 복호화되어 메모리에서 실행되는 순간, 공격자는 ‘dllhost.exe’ 프로세스를 사용, 커널 주소나 메모리 위치를 사용자 모드로 유출했다. 또 프로세스가 수행할 수 있는 작업을 정의하는 토큰을 ‘0xFFFFFFFF’ 값으로 덮어버린다. 그 결과 모든 권한을 공격자에게 부여, 시스템 수준의 프로세스에 코드를 삽입할 수 있도록 한다. 치명적인 수법이라고 할 수 있다.

‘SYSTEM winlogon.exe’ 프로세스에 페이로드 주입도

또 다른 수법도 있다. ‘SYSTEM winlogon.exe’ 프로세스에 페이로드를 주입하는 경우다. 이를 통해 ‘Sysinternals procdump.exe’ 도구를 다른 ‘dllhost.exe’ 프로세스에 주입, 실행했다. 범죄자들은 이런 방식으로 사용자 자격 증명이 포함된 프로세스인 ‘LSASS’의 메모리를 가로 챌 수 있다. 그런 식으로 자격 증명이 유출되면 곧 바로 랜섬웨어가 살포된다. MS는 “이런 영향을 받은 시스템에서 파일이 암호화되고, 임의의 확장자가 추가되며, ‘!_READ_ME_REXX2_!.txt’라는 이름의 랜섬웨어 메시지가 살포되고 있다”고 다시금 주의를 환기시켰다.