- Microsoft Teams를 겨냥한 신종 멀웨어 ‘Snow’가 발견되어 조직 보안 경계가 강화되어야 함
- 브라우저 확장, 터널링, 백도어 모듈이 결합되어 기존 보안 체계를 우회하는 정교한 공격 수행 가능
- 소셜 엔지니어링과 협업 플랫폼의 신뢰도를 악용해, 사용자가 직접 감염에 노출될 위험이 높음
협업툴은 이제 업무만이 아닌, 사이버 보안의 최전선이 되었습니다.
2. 사건 개요 및 주요 내용
최근 보안 연구진은 위협 그룹 UNC6692(별칭 Ivory Vine)가 Microsoft Teams를 통해 맞춤형 멀웨어 ‘Snow’를 유포하는 공격을 확인했습니다. 이 공격은 지속적 표적 공격(APT) 방식으로, 기업과 기관에서 널리 쓰는 협업툴 환경의 취약점을 적극적으로 활용한 점이 특징입니다.
특히 사용자가 신뢰하는 메시지 환경인 Teams에서 악성 링크를 전달해, 구성원이 직접 감염에 가담하도록 유도합니다. 공격자는 외부 테넌트 계정으로 Teams 메시지를 보내며, 내부 커뮤니케이션으로 오인할 수 있게 해 초기 침투를 노립니다.
3. Snow 멀웨어의 특징 분석
Snow 멀웨어는 세 가지 핵심 모듈로 구성되어 있습니다.
첫째, 브라우저 확장 모듈은 사용자의 웹 브라우저에 위장 설치돼 자격 증명, 쿠키, 민감 정보를 수집합니다. 둘째, 터널링 모듈은 감염 시스템과 원격 제어서버(C2) 간 암호화 통신을 만들어, 방화벽 등 기존 네트워크 감시 체계를 회피합니다. 셋째, 백도어 모듈은 시스템 재부팅이나 계정 변경에도 장기간 안정적으로 침투 상태를 유지하여, 공격자의 지속적 접근권을 보장합니다.
이처럼 다중 모듈이 결합돼, 다양한 사이버 공격·데이터 탈취가 은밀하게 이뤄질 수 있습니다.
4. 공격의 수법: 소셜 엔지니어링 및 Teams 악용 기법
이번 공격은 협업툴의 신뢰성과 익숙함을 노려 구성원들이 링크를 경계 없이 클릭하도록 하는, 소셜 엔지니어링 기법이 핵심입니다. 특히 외부 테넌트 기능을 활용해 외부에서 메시지가 전달되지만, Teams의 친숙한 환경에서 오인하기 쉽습니다.
기업 내에서 수시로 공유 링크를 클릭하는 업무 습관을 이용한 점도 눈에 띕니다. 보안 업체와 마이크로소프트 역시 협업플랫폼 대상의 유사 공격이 늘고 있음을 경고한 바 있습니다.
5. 협업 플랫폼 보안 위협 동향
최근 협업툴 중심의 사이버 위협이 빠르게 늘어나고 있습니다. Microsoft와 보안 연구 그룹에 따르면, Teams와 같은 주요 협업툴에서 피싱 캠페인 및 침투형 공격 사례가 증가하고 있습니다. 공격자들은 재택근무 증가로 협업툴 사용이 일상화된 점에 주목해, 기존 보안망을 우회하는 공격을 적극 시도하고 있습니다.
암호화된 내부통신과 신뢰할 수 있는 툴로 위장한 악성 활동은 전통적인 보안 솔루션으로 탐지하기 어렵다는 점이 조직의 취약점으로 작용합니다.
6. 조직 보안을 위한 대응 방안
협업툴 공격에 대응하려면 기술적, 관리적, 인적 요소가 통합된 보안 전략이 필요합니다.
기술적 대응: 외부 테넌트 메시지 차단, 첨부파일·링크에 보안 검사 강화, 엔드포인트 보안, 네트워크 분할, 다단계 인증(MFA) 적용 등으로 공격 표면을 최소화합니다.
관리적 대응: 협업툴 사용 정책을 명확히 하고, 외부 메시지 허용 관리, 사고 대응 체계와 정기적 감사도 필수입니다.
인적 대응: 직원 보안 교육 강화, 피싱 시뮬레이션, 외부 링크 경계와 의심 신고 문화 정착 등이 필요합니다.
7. 결론 및 시사점
이번 Snow 멀웨어 공격 사례는 협업툴이 업무지원 도구를 넘어 사이버 공격의 주요 통로가 되었음을 보여줍니다. 조직은 협업 시스템을 보안 대상으로 인식하고, 기술적 대응과 구성원 인식 제고를 병행해야 합니다. 가장 약한 고리를 노리는 공격자를 막기 위해, IT·보안팀의 긴밀한 협력과 실시간 위협 대응 체계가 무엇보다 중요합니다.
- 협업툴 보안 정책 재점검과 체계적인 대응 방안 도입 필요
- 신종 멀웨어의 침투 경로가 다양해, 시스템·네트워크·사용자 단위의 종합 방어 필수
- 실시간 모니터링·지속적 보안 업데이트로 위협 선제 대응 강화