GodDamn 랜섬웨어와 PoisonX 드라이버, BYOVD로 EDR을 무력화하는 새로운 공격 방식 분석

2026년 5월 야생 환경에서 처음 포착된 GodDamn 랜섬웨어는, Microsoft에 의해 정상 서명된 PoisonX 커널 드라이버를 무기로 삼아 엔드포인트 보안 제품 자체를 무력화하는 새로운 유형의 공격을 보여주었다. 이번 사례는 단순한 랜섬웨어 변종이 아니라, ‘서명된 악성 드라이버’라는 신뢰 사슬을 정면으로 흔드는 BYOVD(Bring Your Own Vulnerable Driver) 기반의 정교한 공격 사례로서 보안 운영 현장에서 즉각적인 점검이 필요하다.

핵심 요약

  • GodDamn 랜섬웨어는 2026년 5월 21일 야생 환경에서 처음 탐지되었으며, Symantec Threat Hunter Team이 이를 공개했다.
  • 공격자는 Microsoft 서명된 PoisonX 커널 드라이버를 로드해 EDR과 안티바이러스 등 보안 프로세스를 종료시킨 뒤 파일을 암호화한다.
  • 이는 서명 드라이버에 대한 운영 체계 전반의 재점검이 필요한 BYOVD 기반 방어 우회 사례로 분석된다.

단순한 악성코드 탐지를 넘어, 커널 드라이버 신뢰 정책과 EDR 자가보호 메커니즘을 함께 재설계해야 한다는 신호다.

GodDamn 랜섬웨어와 PoisonX 드라이버의 등장 배경

2026년 5월 첫 탐지와 Symantec Threat Hunter Team의 공개

Symantec Threat Hunter Team은 2026년 5월 21일, EDR과 안티바이러스가 비활성화된 상태에서 파일이 급격히 암호화되는 이상 행위를 포착했다. 조사 결과 새로운 랜섬웨어 패밀리 GodDamn이 확인되었고, 공격자는 보안 에이전트를 종료시키기 위해 Microsoft에 의해 서명된 악성 커널 드라이버 PoisonX를 함께 배포한 것으로 분석되었다. 해당 내용은 7월 9일 The Hacker NewsDark Reading을 통해 공개되었다.

Beast 랜섬웨어와의 코드 및 인프라 연관성

보안업체들은 GodDamn이 기존 Beast 랜섬웨어 패밀리와 코드 구조 및 C2(명령제어) 인프라 측면에서 강한 연관성을 보인다고 평가했다. 다만 GodDamn은 BYOVD를 통한 보안 제품 무력화라는 차별화된 초기 침투 절차를 추가해, 단순 변종이 아닌 공격 체계의 진화 형태로 보는 견해가 우세하다.

BYOVD 기법과 PoisonX 드라이버의 기술적 동작 방식

Bring Your Own Vulnerable Driver 공격의 기본 원리

BYOVD는 공격자가 취약하거나 악의적으로 제작된 커널 드라이버를 시스템에 직접 로드해 Ring 0 권한을 확보한 뒤, 보안 에이전트나 EDR 커널 콜백을 우회·중단하는 기법이다. 정상적으로 서명된 드라이버는 Windows의 드라이버 무결성 검증과 HVCI(하이퍼바이저 보호 코드 무결성) 정책에 의해 차단될 수 있으나, 과거에 서명된 드라이버가 이후 취약점으로 판명되거나 서명 취소(revocation)가不及时하게 이루어지는 경우 공격에 악용된다.

Microsoft 서명을 악용한 PoisonX 드라이버의 커널 권한

PoisonX 드라이버는 Microsoft에 의해 서명된 정상 서명 드라이버 포맷을 따르는 것으로 보고되었다. 이 드라이버가 로드되면 커널 모드에서 임의의 프로세스를 종료하거나 보호된 자원에 접근할 수 있는 핸들 권한이 공격자에게 넘어가며, 결과적으로 EDR 에이전트, 안티바이러스 서비스, 백업 클라이언트까지 일괄 종료가 가능해진다. 일반적인 파일 기반 탐지는 서명 신뢰 모델 자체를 통과하기 때문에, 행위 기반 탐지가 작동하기 전까지 침해 사실이 드러나지 않을 가능성이 높다.

보안 프로세스 종료에서 파일 암호화까지의 공격 흐름

전체 공격 흐름은 다음과 같이 정리된다.

  • 초기 침투: 피싱, RDP(원격 데스크톱) 노출, 또는 외부 익스플로잇을 통해 시스템에 진입한다.
  • 드라이버 로드: 정상 서명된 PoisonX 커널 드라이버를 sc.exe 등 관리 도구로 등록·시작해 커널 권한을 확보한다.
  • 보안 에이전트 종료: EDR, 안티바이러스, 백업 프로세스를 강제 종료하고 자가보호(self-protection) 메커니즘을 무력화한다.
  • 파일 암호화: 탐지·차단 장치가 없는 상태에서 문서·데이터베이스·가상 디스크를 일괄 암호화한다.
  • 랜섬 노트 배포: 복호화 대가 지불을 요구하는 랜섬 노트를 사용자 및 공유 폴더에 확산한다.

엔드포인트 보안 제품이 무력화되는 메커니즘과 영향

EDR 및 안티바이러스 에이전트 종료의 기술적 배경

대부분의 EDR과 안티바이러스는 사용자 모드(usermode) 에이전트가 커널 드라이버와 협업하는 구조로 동작한다. 공격자가 커널 모드에서 임의 프로세스 종료 권한을 얻게 되면, EDR 자가보호가 활성화된 경우에도 이를 우회해 에이전트 서비스를 중단시킬 수 있다. 결과적으로 보안팀의 가시성이 사실상 사라지며, 암호화가 진행되는 동안 SIEM(보안 정보 및 이벤트 관리)에도 정상 종료 이벤트로 위장된 로그만 남게 되는 것으로 분석된다.

탐지 우회와 로그 흔적 분석의 한계

PoisonX와 같은 드라이버는 서명이 유효하기 때문에 기존 평판 기반 IOC(침해 지표) 체계에 자연스럽게 흡수된다. 따라서 단순 해시·서명·경로 기반 탐지만으로는 식별이 어려우며, 드라이버 로드 이벤트, 비정상적인 서비스 등록, 알려지지 않은 드라이버의 커널 콜백 추가 행위 등을 함께 추적해야 한다. 최근에는 드라이버 로드 시점의 호출 스택과 행위 체인을 기반으로 탐지하는 접근이 보편화되고 있다.

구분 기존 랜섬웨어 GodDamn + PoisonX
보안 제품 대응 탐지 우회·프로세스 인젝션 중심 서명 드라이버로 EDR/AV 직접 종료
탐지 시점 파일 암호화 단계에서 탐지되는 사례 多 드라이버 로드 및 에이전트 종료 단계에서 식별 필요
로그 흔적 프로세스 실행·파일 변경 이벤트 위주 서비스 등록·커널 드라이버 로드 이벤트까지 확장 필요
대응 난이도 백업·패치 중심 일반 대응 드라이버 차단 정책·WDAC 같은 운영 통제 추가 필요

대응 방안과 보안 운영 권고

취약 드라이버 차단 정책과 WDAC 적용 절차

가장 시급한 조치는 Windows Defender Application Control(WDAC) 또는 HVCI 정책을 통해 알려진 취약 드라이버 로드를 차단하는 것이다. Microsoft가 제공하는 취약 드라이버 차단 목록(SiPolicy)과 EDR 벤더가 제공하는 권장 차단 정책을 함께 적용하고, 신규 드라이버 등록 이벤트를 SIEM으로 전달하는 절선을 검토할 필요가 있다. 또한 정기적으로 드라이버 서명 상태와 취약점 데이터베이스를 대조해, 서명 취소(revoked)된 드라이버가 조직 내 단말에서 사용되고 있지 않은지 점검할 것을 권장한다.

커널 드라이버 로드 모니터링 및 EDR 이상 행위 탐지 강화

EDR 설정에서 ‘드라이버 로드 이벤트’, ‘비정상적인 서비스 등록’, ‘보호된 프로세스 종료 시도’에 대한 행위 룰을 강화해야 한다. 단, GodDamn 사례에서 보듯 사용자 모드 EDR가 사전에 비활성화될 수 있으므로, 클라우드 기반 탐지, 네트워크 행위 분석, 백업 시스템의 불변성(immutability) 확보 등 보완 통제를 함께 설계할 필요가 있다. 랜섬웨어 피해 시 복구의 마지막 보루는 오프라인·이격 백업이라는 점을 다시 한번 인식할 필요가 있다.

국내 기업 환경에 대한 점검 포인트

국내 기업은 다음 항목을 즉시 점검할 것을 권장한다.

  • Windows 단말의 WDAC 또는 Device Guard 정책이 활성화되어 있는지, 그리고 최근 6개월 이내 정책이 갱신되었는지 확인한다.
  • Microsoft가 공개한 취약 드라이버 차단 목록이 최신 버전으로 적용되었는지, 차단 예외가 과도하게 열려 있지 않은지 점검한다.
  • EDR 콘솔에서 ‘드라이버 로드’, ‘커널 콜백 변경’, ‘서비스 변조’ 이벤트가 상시 모니터링되고 있는지 확인한다.
  • 중요 서버와 도메인 컨트롤러에 대해 LSA Protection, Credential Guard, RDP 노출 축소 등 기본 강화 항목이 적용되어 있는지 검토한다.
  • 오프라인 백업과 이격 스토리지를 3-2-1 원칙에 따라 운용하고, 복구 훈련을 분기 1회 이상 실시한다.

출처: The Hacker News – GodDamn Ransomware Uses PoisonX Driver to Disable Endpoint Defenses, Dark Reading – ‘GodDamn’ Ransomware Uses BYOVD to Smite US Companies

정리 포인트

  • GodDamn 랜섬웨어는 Microsoft 서명된 PoisonX 드라이버를 통해 EDR/안티바이러스를 직접 종료시키는 BYOVD 기반 공격이다.
  • 단순 탐지 룰 강화만으로는 대응이 어려우며, WDAC과 취약 드라이버 차단 정책을 통한 선제적 통제가 핵심이다.
  • EDR이 무력화될 가능성을 전제로, 네트워크·백업·계정 영역의 보완 통제와 복구 체계를 함께 강화할 필요가 있다.

관련 키워드

GodDamn 랜섬웨어, PoisonX 드라이버, BYOVD 공격, 커널 드라이버 악용, EDR 무력화, 엔드포인트 보안 우회, Microsoft 서명 드라이버, Beast 랜섬웨어, Symantec Threat Hunter Team, WDAC, 취약 드라이버 차단, 커널 수준 공격, 랜섬웨어 대응, 보안 운영 권고

댓글 남기기