- Gentlemen 랜섬웨어는 RaaS 모델로 운영되며 다수의 EDR 제거 툴 스위트를 지속 개발하고 있는 것으로 파악됨
- EDR 제거 도구로 엔드포인트 보안 기능을 무력화한 뒤 랜섬웨어를 실행하는 다단계 침해 흐름이 확인됨
- 단일 EDR 제거기가 아닌 다종 툴의 병행 사용은 보안 솔루션 다변화 전략의 한계를 노리는 정교한 회피 기법으로 분석됨
EDR 만으로는 충분치 않다. EDR 를 무력화한 뒤 침투하는 Gentlemen 의 다중 툴 전략은 엔드포인트 보안의 구조적 한계를 적나라하게 드러낸다.
최근 Bleeping Computer 는 Gentlemen 랜섬웨어가 다수의 EDR(Endpoint Detection and Response) 제거 툴을 활용해 보안 제품을 무력화한 뒤 암호화를 수행한다고 보도했다. RaaS(Ransomware-as-a-Service) 형태로 운영되는 해당 그룹은 제휴 조직이 즉시 활용할 수 있도록 제거 툴 스위트를 지속 유지보수하는 것으로 전해졌다. 본문에서는 Gentlemen 의 침해 흐름과 EDR 제거기 다중화 현상이 시사하는 위협 환경 변화를 짚고, 실무에서 즉시 참고할 수 있는 대응 전략을 제시한다.
랜섬웨어 공격의 새로운 전환점, EDR 제거 도구의 부상
단일 제거기에서 다중 툴 스위트로 진화하는 위협
과거 다수의 랜섬웨어 공격은 권한 탈취 후 곧바로 파일 암호화에 들어가는 비교적 단순한 흐름이 일반적이었다. 그러나 최근 1~2년간 EDR 이 보편화되면서 공격자들은 탐지와 차단 기능을 회피할 수 있는 별도의 도구를 확보하는 쪽으로 전술을 전환했다. Gentlemen 은 이러한 흐름의 정점에 있는 그룹으로 평가된다. 한두 종류의 EDR 제거기에 의존하던 초기 단계와 달리, Gentlemen 은 운영체제 환경과 설치된 보안 제품군에 맞춰 교체 투입이 가능한 다수의 제거 툴을 병행 운용하는 것으로 보고되었다 (Bleeping Computer).
Gentlemen 랜섬웨어의 침해 흐름 해부
암호화 실행 및 데이터 유출 연계
Gentlemen 의 침해 절차는 다음 단계로 정리된다. 각 단계는 사실 기반의 공개 자료를 토대로 재구성한 것이며, 내부 기술명은 공개 범위 내에서 한정해 기술한다.
- 침투 및 권한 확보: 피싱·노출 자격증명·원격접속 서비스 악용 등 초기 침투 경로를 통해 도메인 혹은 엔드포인트 수준의 권한을 확보한다.
- EDR 제거기 배포: 확보한 권한을 기반으로 사전에 준비한 다수의 EDR 제거 툴을 실행해 보안 에이전트의 보호 기능을 무력화한다.
- 로컬 및 네트워크 이동: 탐지 공백이 생긴 시점에내부横向 이동(lateral movement) 을 수행해 권한을 확장하고 대상 자산을 식별한다.
- 데이터 유출 및 암호화: 이중 갈취(double extortion) 를 위해 데이터를 외부로 반출한 뒤, 핵심 자산을 암호화해 금전을 요구한다.산에 대해 일괄 암호화를 진행한다.
특히 다중 제거기 전략은 단일 솔루션의 시그니처 탐지를 우회할 수 있을 뿐 아니라, 다종 보안 제품이 혼재한 환경에서도 일부가 동작을 멈추면 연쇄적으로 가시성을 잃게 만든다는 점에서 위협도가 높다.
다중 EDR 제거기 사용이 시사하는 위협 환경 변화
보안 솔루션 다변화 전략의 한계
오랜 기간 권고되어 온 다종 EDR 병행, 이른바 best-of-breed 전략은 단일 벤더 종속 리스크를 줄이는 데는 효과적이었다. 그러나 Gentlemen 처럼 운영체제 드라이버를 직접 종료하거나 보안 에이전트의 서비스를 무력화할 수 있는 툴이 등장하면, 다변화한 제품군이 단일 실패 지점처럼 동시에 무력화될 수 있다. 즉, 에이전트 기반 통제만으로는 탐지 공백을 메우기 어려운 구조적 한계가 부각된 것이다. 보안 업계에서는 이 같은 흐름을 가리켜 EDR 자체가 더 이상 충분한 통제 수단이 아니라는 해석을 내놓고 있으며, 호스트 외부의 가시성 확보와 행위 기반 분석이 다시 강조되는 추세다 (The Hacker News 분석).
| 단계 | 공격자 행동 | 기존 통제 방식 | 부각되는 통제 보완점 |
|---|---|---|---|
| 침투 | 피싱, 자격증명 악용, 원격접속 | 이메일 게이트웨이, MFA | 제로트러스트 네트워크 접근, 조건부 접근 정책 |
| EDR 제거 | 보안 에이전트 서비스 종료 | 에이전트 자체 보호(tamper protection) | 오프호스트 로그, 호스트 외 행위 가시성 |
| 가로 이동 | 원격 실행, 자격증명 재사용 | 네트워크 분할, 최소 권한 | Kerberos 이상행위 탐지, JIT 권한 상승 |
| 암호화 및 유출 | 대량 파일 암호화, 외부 반출 | 백업, DLP | 불변 백업, 데이터 유출 행위 탐지 |
대응 전략, 우회가 어려운 방어 체계 구축
오프호스트 로그 보존과 백업 무결성 검증
Gentlemen 류의 위협에 대응하기 위해서는 EDR 에만 의존하지 않는 다계층 방어 체계로의 전환이 필요하다. 특히 다음 네 가지 영역의 보완이 시급한 것으로 판단된다.
- 호스트 외 가시성 확보: 에이전트가 종료되더라도 클라우드 기반의 엔드포인트 텔레메트리, 네트워크 로그, IdP(Identity Provider) 로그가 끊기지 않도록 설계한다.
- 행위 기반 탐지 고도화: 시그니처 기반 룰이 아닌 프로세스 트리, 자식 프로세스 관계, 드라이버 로드 이벤트 등 호스트 행위에 대한 이상 탐지 룰을 강화한다.
- 오프호스트 백업과 불변 저장소: 백업 경로가 공격자 통제 하에 있다면 복구 자체가 불가능해진다. 오프호스트 백업과 WORM(Write Once Read Many) 스토리지를 조합해 변조 가능성을 차단한다.
- 권한 최소화 및 제로트러스트: 로컬 관리자 권한을 최소화하고, 서비스 계정의 권한을 정기적으로 감사해横向 이동 비용을 높인다.
이와 함께 EDR 의 tamper protection 설정을 점검하고, 보안 에이전트가 비활성화된 시점을 알림으로 받을 수 있도록 운영 정책을 정비할 필요가 있다. EDR 제거 시도가 실제로 발생했을 때, 어떤 로그가 끊겼는지, 어떤 시점에 어떤 호스트에서 발생했는지를 24시간 이내에 식별할 수 있어야 침해 범위 판정이 가능하다.
결론, EDR 를 넘어서는 종합 보안 전략의 필요성
Gentlemen 랜섬웨어의 다중 EDR 제거기 운용은, 에이전트 기반 보안이 갖는 구조적 한계가 더 이상 가정의 문제가 아님을 보여준다. 엔드포인트 단일 계층에 머무는 통제 모델은 이미 정점에 도달한 것으로 보이며, 데이터·신원·네트워크 전반에 걸친 가시성과 행위 기반 분석을 결합한 종합 보안 전략으로의 전환이 요구된다. 랜섬웨어 제휴 조직은 계속해서 정교한 우회 도구를 확보할 가능성이 높으므로, 보안팀 역시 도구 단위의 대응을 넘어 운영 절차와 아키텍처 수준의 변화를 서두를 필요가 있다. Gentlemen 사례는 그 출발점이자 경고 신호로 읽혀야 할 것이다.
핵심 요약
- Gentlemen 은 RaaS 모델로 운영되며, 다수의 EDR 제거 툴 스위트를 지속 유지보수하는 그룹으로 파악된다.
- 침해 흐름은 침투 → EDR 제거 → 수평의 이동 → 데이터 유출 및 암호화의 다단계 구조를 갖는다.
- 다중 EDR 제거기 사용은 다변화한 보안 제품군마저 무력화할 수 있어, 호스트 외 가시성과 행위 기반 탐지의 보완이 필수다.
- 오프호스트 백업, 불변 저장소, 제로트러스트 권한 통제 등 아키텍처 차원의 대응이 함께 이뤄져야 실질적 방어가 가능하다.
참고 자료