핵심 요약
- 침투 경로: WhatsApp 다이렉트 메시지로 위장된 비즈니스 문서 형태의 VBScript 악성 스크립트 파일을 전송해 사용자의 직접 실행을 유도
- 최종 페이로드: 합법적 RMM 소프트웨어인 ManageEngine을 설치해 정상 관리 트래픽으로 위장한 원격 접근 채널을 확보
- 탐지 및 분석: Kaspersky가 다수 국가에서 활성화된 캠페인을 확인, Living-off-the-Land 기반의 우회 기법이 핵심 특징으로 분석됨
메신저 기반 사회공학과 정상 관리 도구의 결합은 시그니처 기반 탐지의 사각지대를 노리는 위협으로, 사용자 교육과 도구 거버넌스 강화가 함께 요구됩니다.
2026년 6월 23일, The Hacker News는 WhatsApp 다이렉트 메시지를 통해 VBScript 악성파일을 유포하고 정상 원격 관리 도구인 ManageEngine을 설치하는 캠페인을 공개했습니다. Kaspersky는 해당 활동이 다수 국가에서 동시에 관측된다며, 사회공학과 정상 도구 악용(Living-off-the-Land)이 결합된 새로운 공격 사례로 분류했습니다. 본 칼럼은 공개된 보고와 보도 내용을 바탕으로 공격 메커니즘과 기업·개인 차원의 대응 과제를 정리합니다.
1. 공격 캠페인 개요와 배경
1-1. WhatsApp DM을 이용한 초기 침투 경로
공격자는 개인 또는 업무용 WhatsApp 계정에서 거래 명세서, 세금 환급 통보, 계약서 초안 등 비즈니스 문서로 위장한 파일을 첨부해 전송합니다. 메신저 기반의 신뢰감을 이용해 파일이 차단 없이 상대방 단말에 도달하도록 설계한 것으로, 이메일 보안 게이트웨이를 우회한다는 점에서 전통적인 스팸 필터링의 한계를 드러냅니다. 보고서에 따르면 피해자는 메시지 맥락상 자연스러운 흐름 때문에 첨부 파일을 별도의 검증 없이 열어보게 되는 것으로 분석됩니다.
1-2. VBScript 파일의 위장 기법과 실행 흐름
첨부된 파일은 일반적으로 PDF 또는 문서 아이콘으로 표시되지만, 실제 확장자는 .vbs, .vbe 혹은 더블 확장자(.pdf.vbs) 형태입니다. 사용자가 직접 실행하면 스크립트는 Powershell, WMI, mshta 같은 Windows 내장 도구를 순차적으로 호출해 추가 단계를 다운로드하고, 최종적으로 ManageEngine 에이전트를 설치합니다. Kaspersky는 이 흐름이 단일 파일에 의존하지 않고 여러 단계로 분할되어 있다는 점에서 탐지 회피 의도가 명확한 것으로 판단했습니다.
1-3. Kaspersky가 포착한 공격 인프라 특징
Kaspersky의 텔레메트리 데이터는 캠페인이 특정 산업군에 한정되지 않고 다양한 국가의 WhatsApp 사용자에게 무차별적으로 시도되고 있음을 보여줍니다. 다만 실제 감염으로 이어진 사례는 업무용 PC를 사용하는 사용자에게서 더 많이 관측되었으며, 이는 업무용 메신저와 개인용 메신저가 혼용되는 현실을 악용한 것으로 해석됩니다.
2. ManageEngine RMM 악용 메커니즘
2-1. 정상 RMM 도구가 공격 도구로 변질되는 방식
ManageEngine은 패치 관리, 원격 지원, 자산 인벤토리 등 정당한 IT 운영 목적으로 사용되는 RMM(원격 모니터링 및 관리) 도구입니다. 공격자는 인증 정보를 확보한 뒤 에이전트를 침해 단말에 설치함으로써, 평문 트래픽과 디지털 서명을 갖춘 정상 관리 채널을 원격 셸로 전환합니다. 시그니처 기반 EDR은 해당 프로세스를 신뢰 가능한 애플리케이션으로 분류할 가능성이 있으며, 행동 기반 분석이 없으면 장기 침투가 유지될 수 있습니다.
2-2. Living-off-the-Land 기법으로 살펴본 탐지 우회
LotL(Living-off-the-Land) 기법은 PowerShell, WMI, mshta, rundll32 등 Windows 기본 유틸리티만을 활용하여 페이로드를 실행하는 방식입니다. 이번 캠페인에서도 별도의 신규 실행 파일을 최소화하고, 운영체제 자원과 정상 도구만으로 동작 흐름을 구성한 점이 특징입니다. 결과적으로 파일 해시 탐지나 화이트리스트 기반 정책만으로는 차단이 어려우며, 자식 프로세스 관계, 명령줄 인자, 네트워크 통신 패턴을 결합한 분석이 필요해집니다.
2-3. 지속적 원격 접근 및 측면 이동 전략
설치된 ManageEngine 에이전트는 외부 C2 채널을 안정적으로 유지하고, 자격 증명 수집, 추가 페이로드 배포, 동일 네트워크의 다른 단말로의 측면 이동에 활용될 가능성이 있습니다. 보고서에서는 직접적인 랜섬웨어 배포 사례는 확인되지 않았으나, 동일한 접근 경로가 랜섬웨어 협상团伙에 의해 재사용될 개연성은 충분한 것으로 보입니다.
3. 영향 범위와 피해 시나리오
3-1. 개인 사용자 대상 1차 피해 양상
개인 사용자는 메신저에서 유입된 스크립트를 직접 실행하는 경우 1차 감염 단계에 노출됩니다. 이후 개인 자격 증명, 저장된 쿠키, 2차 인증 코드 탈취로 계정 탈취와 금전 사기로 이어질 수 있습니다.·지인 메신저 계정을 통한 2차 확산 위험도 존재합니다.
3-2. 기업 엔드포인트 침투와 내부 자산 위협
업무용 메신저와 개인 메신저가 동일 단말에서 사용되는 경우, 공격자는 BYOD 환경을 우회해 내부 네트워크 진입을 시도할 수 있습니다. 침투가 성공할 경우 ERP, 내부 문서 서버, 개발자 저장소 등 핵심 자산 접근이 가능해져 데이터 유출과 지적재산권 침해로 확대될 가능성이 있습니다.
3-3. 데이터 유출 및 랜섬웨어 연계 가능성
RMM 기반의 안정적 접근권은 공격자에게 충분한 정찰 시간을 제공하므로, 주요 데이터의 위치를 파악한 뒤 단계적으로 유출하거나, 협박용으로 백업본을 사전 삭제한 뒤 랜섬웨어를 배포하는 시나리오가 가능합니다. 따라서 본 캠페인은 단발성 침해가 아니라 후속 공격의 플랫폼 역할을 할 가능성이 있는 것으로 분석됩니다.
4. 탐지 및 대응 권고사항
4-1. 이상 행위 기반 모니터링과 스크립트 실행 통제
스크립트 실행 로그는 Microsoft Defender SmartScreen, AMSI(Antimalware Scan Interface)와 EDR의 행위 텔레메트리를 통해 중앙 집중화해야 합니다. 특히 .vbs, .vbe, .hta 파일의 사용자 실행 이벤트를 추적하고, PowerShell ScriptBlock 로깅을 활성화해 외부 다운로드 및 Base64 디코딩 패턴을 탐지하는 규칙을 적용하는 것이 효과적인 것으로 보입니다.
4-2. WhatsApp 등 메신저 보안 정책과 사용자 교육
업무 단말에서 개인 메신저 사용을 제한하거나, 모바일 관리(MDM) 정책을 통해 메신저 앱을 업무 영역과 분리해야 합니다. 사용자 교육에서는 첨부 파일의 확장자 검증, 출처가 불분명한 비즈니스 문서의 재확인 절차, 2차 인증서 강제 적용을 핵심 주제로 다루는 것이 권장됩니다.
4-3. ManageEngine 등 RMM 도구 도입 시 점검 체크리스트
- 에이전트 설치 및 정책 변경에 대한 변경 관리 프로세스 수립
- 관리 콘솔 접근에 대한 MFA 적용과 IP 화이트리스트 구성
- 외부 통신 대상 FQDN, IP 대역에 대한 Egress 화이트리스트 운영
- 에이전트 실행 로그를 SIEM과 연계해 이상 행위 알람 규칙 적용
- 퇴직자, 외주 협력사 계정 등 비활성 자격 증명에 대한 정기 점검
시사점 정리
- 사회공학 기반 침투는 메신저 중심으로 이동하며, 이메일 보안 통제만으로는 대응이 부족합니다.
- 정상 RMM 도구의 악용은 시그니처 기반 탐지의 사각지대를 드러내며, 행동 기반 분석과 도구 거버넌스가 필수입니다.
- 기업은 사용자 교육, EDR, RMM 라이프사이클 관리를 하나의 보안 프로그램으로 통합해 운영해야 합니다.