Havoc C2 오프라인 이후에도 살아남는 OpenSSH·Tailscale 영구 백도어: 프랑스 자동차 기업 침해 사건 분석

최근 공개된 침해사고 분석에 따르면, 공격자는 비교적 단순한 도구 조합만으로도 EDR(엔드포인트 탐지·대응) 기반의 전통적인 탐지 체계를 우회할 수 있음이 확인됐다. 본稿는 The Hacker News의원문 기사에 기반해 사건 타임라인 복원, 기술적 동작 원리, 탐지·대응 시사점을 결합한 심층 분석을 제공한다.

사건 개요: 프랑스의 소규모 자동차 기업이 직면한 침해

공격자 프로파일과 초기 침투 경로

이번 사건의 공격자는 프랑스어 사용자로 확인되었으며, 피해 조직은 프랑스의 소규모 자동차 관련 비즈니스다. 원문에서 초기 침투 벡터(피싱, RDP 노출, 웹 취약점 등)는 명시되지 않으며, 이후 행위의 정교함에 비해 툴셋이 가볍다는 점에서 초기 침투는 비교적 평이한 방식이었을 것으로 추측된다. 이는 “주니어”라는 표현이 단순 수사적 수식어가 아니라, 고도화된 제로데이 익스플로잇보다 접근 가능한 도구를 조합하는 데 초점이 맞춰졌음을 시사한다.

키로거 설치와 뱅킹·이메일 자격증명 탈취 타임라인

침투 직후 공격자는 피해 시스템에 키로거를 설치하고 뱅킹 및 이메일 계정의 자격증명을 탈취했다. 이벤트 로그와 Tailscale·OpenSSH 설치 시점을 기준으로 복원한 타임라인은 다음과 같다.

단계	시점	주요 행위
1	침투 D-Day	초기 침투 및 키로거 설치, 자격증명 수집
2	D-Day ~ D+1	Havoc C2 운영, 추가 탐색
3	C2 종료 직전	OpenSSH 서버 및 Tailscale 클라이언트 설치
4	D+1 이후	Havoc C2 오프라인, Tailscale 터널+SSH 경로로 재접속

이처럼 영구화 인프라 구축이 C2 운영 중에 미리 완료되었다는 사실이 핵심이다. 자격증명 탈취는 1차 수익화 시도이며, OpenSSH·Tailscape 구성은 차후 재진입용 보험이라 할 수 있다.

핵심 기법 분석: C2 오프라인 이후에도 살아남는 접근 경로

Havoc C2의 한계와 운영자 폐기 패턴

Havoc은 오픈소스 C2(커맨드앤컨트롤) 프레임워크로, 공격자 입장에서 비용 부담 없이 사용할 수 있다는 장점이 있다. 그러나 공개 인프라 기반으로 동작하기 때문에 호스팅 사업자의 신고·차단, Defender의 탐지 축적, 혹은 운영자 본인의 의사 결정으로 어느 순간 서버가 폐기될 수 있다. 이번 사건에서도 Havoc 서버가 다음 날 오프라인되었음에도 공격자는 동일 시스템에 다시 접속하는 데 성공했다. 이는 C2 단일 채널에 의존하는 공격 모델이 가지는 구조적 취약점이라 할 수 있다.

OpenSSH를 이용한 정상 서비스 위장 영구화

공격자는 피해 호스트에 OpenSSH 서버를 설치하고, 탈취한 자격증명을 기반으로 원격 접속 구성을 만든 것으로 추정된다. 포트 22번은 일반적인 리눅스/유닉스 환경에서 정상적으로 사용되는 서비스이므로 EDR 입장에서 단독으로는 악성 행위로 판정하기 어렵다. 게다가 공격자는 평문 22번 대신 비표준 포트(예: 2022, 2222, 8080 등)로 위장하거나 fail2ban 등 정상 운영 도구와 유사한 설정으로 위장할 수 있어, 트래픽 패턴 기반의 탐지에서도 쉽게 벗어난다.

Tailscale 기반 제로트러스트 터널의 악용

여기서 한 단계 더 은밀한 장치가 Tailscale다. Tailscale은공식 문서에서도 설명되듯 와이어가드 기반의 메시 VPN으로, 클라이언트 설치만으로 별도의 방화벽 변경 없이 outbound 443/TCP 단일 연결을 통해 사설 네트워크를 구성한다. 공격자는 자신의 Tailscale 계정에 피해 호스트를 노드로 등록하고, 동일 테일넷에 속한 디바이스에서 OpenSSH로 접속한다. 이 과정에서 다음과 같은 가시성 문제가 발생한다.

• 아웃바운드 443 포트 TLS 트래픽은 일반 HTTPS로 위장되어 NDR(네트워크 탐지·대응)에서 정상으로 분류될 가능성이 높다.
• teardrop 및 controlplane 도메인(tailscale.com)과의 통신이 정상 업무용으로 오인될 수 있다.
• SSH 접속 자체는 피해 호스트 내에서 정상 서비스 행위로 기록되어 프로세스 기반 상관 분석에서도 잡히지 않을 수 있다.

따라서 기존 보안 스택에서는 “C2는 사라졌고 의심 트래픽도 없다”는 잘못된 결론으로 귀결될 가능성이 있다. 하지만 실제로는 공격자의 노트북과 피해 시스템 사이의 사설 터널이 살아 있는 상태라 할 수 있다.

왜 기존 보안 제어가 이 공격을 놓치는가

정상 프로세스·포트 22와 신뢰된 도메인이 만드는 탐지 사각지대

대부분의 EDR 정책은 비인가 프로세스, 비인가 도메인, 비인가 포트 중심으로 작성된다. 그러나 OpenSSH는 리눅스/유닉스/Windows 어디든 정식 패키지이고, Tailscale 또한 정상 업무용 도구로 승인된 환경이 적지 않다. 이러한 화이트리스트 기반 정책은 정상 도구를 악용하는 공격자에게 매우 유리한 환경을 제공한다. 이 구간에서 단일 IOC(침해지표) 기반의 사후 추적만 의존한다면, 공격자는 사실상 “눈에 보이지 않는 백도어”를 확보하게 된다.

C2 IOC 중심의 사후 추적과 차단 한계

기존 사고 대응 프로세스는 종종 C2 도메인·IP 차단, C2에서 내려받은 페이로드 분석에 집중되어 있다. 이번 사건에서 C2 인프라의 단명 운영 패턴은 이러한 대응 모델이 가지는 한계를 부각한다. 즉, 차단 대상 자체가 사라지기 때문에 IOC 차단은 무의미해지며, 그 다음에 살아남는 것은 바로 C2-비의존 영구 접근 경로다. 이로 인해 침해사고는 “C2 폐기”와 동시에 종료되는 것이 아니라, 별도의 장기潜伏 국면으로 진입하게 된다.

기업 보안팀을 위한 대응 권고

Tailscale와 OpenSSH 비인가 사용 탐지 및 정책

가장 먼저 수행할 것은 비인가 인스턴스 제거다. 엔드포인트에서 다음 항목을 주기적으로 점검해야 한다.

• Tailscale/Tailscaled 프로세스 및 서비스 설치 여부, 노드 키 상태 모니터링
• OpenSSH 서버(sshd) 패키지 설치 여부, 서비스 활성화 여부, 비인가 공개키 등록 여부
• 아웃바운드 443 트래픽 중 controlplane.tailscale.com, derp.tailscale.com 등 테일스케일 인프라로의 비인가 연결 탐지

정기적인 호스트 점검 스크립트와 EDR의 파일 무결성 모니터링을 결합해, 승인되지 않은 설치가 발생할 경우 즉시 경보가 발령되도록 설계해야 한다.

C2 폐기 시나리오를 가정한 가정 기반 위협 헌팅

사고 대응팀은 “C2가 이미 폐기된 상태에서도 공격자가 재침투할 수 있다”는 가정을 헌팅 플레이북에 포함해야 한다. 다음 항목이 점검 대상이 된다.

• C2 차단 이후 동일 호스트에서 발생한 신규 인증 이벤트, 특히 OpenSSH 기반 로그인
• 정상 업무 시간 외 SSH 세션, 평소와 다른 출발지 IP 대역과의 상관관계
• Tailscale 노드 목록에 등록된 미인가 디바이스 및 미인가 사용자 계정

이 과정에서 Tailscale의 자체 관리 콘솔 로그와 EDR의 호스트 이벤트를 교차 상관 분석하면, C2가 사라진 뒤의 접근 흔적을 발견할 가능성이 높아진다.

소규모·중소기업 대상 가시성 강화 체크리스트

프랑스의 소규모 자동차 기업 사례는, 한정된 IT 자원으로 운영되는 중소·중견기업이 직면한 현실적 위험을 그대로 보여준다. 다음 체크리스트를 즉시 적용할 수 있다.

• 엔드포인트에 EDR과 파일 무결성 모니터링을 함께 도입하고, 정상 도구(SSH, VPN, 원격 관리)의 승인 목록을 주기적으로 감사한다.
• 아웃바운드 443/TCP 기반의 비인가 SaaS VPN·터널링 서비스에 대한 네트워크 정책을 수립하고 차단한다.
• “C2 폐기 = 침해 종료”라는 잘못된 가정을 버리고, 침해 이후 최소 30일간 가정 기반 헌팅을 수행한다.
• 권한 상승과 자격증명 재사용을 방지하기 위해 키로거 대응이 가능한 EDR 정책과 MFA 강화를 동시에 추진한다.

#Tailscale악용 #OpenSSH백도어 #HavocC2 #C2대체영구화 #제로트러스트터널악용 #프랑스자동차기업침해 #키로거공격 #뱅킹자격증명탈취 #EDR우회 #중소기업사이버위협 #침해사고분석 #위협헌팅 #비인가원격접속