전기전자/정보통신

日経 NETWORK_26.02호 (p18-19)

랜섬 공격자가 사용하는 ‘EDR 회피’에 주의
EDR이 무력화된 아사히와 아스크루, 회피 방법은 ‘우회’와 ‘무효화’ 두 가지

아사히 그룹 홀딩스(GHD)는 2025년 9월 29일에, 아스크루는 같은 해 10월 19일에 랜섬웨어 공격 피해를 입었다고 발표했다. 두 기업 모두 공격을 받은 이후 2개월 이상 출하량 감소 등 사업에 악영향을 겪었다.

두 기업의 공통점은 EDR(Endpoint Detection and Response)을 도입했음에도 불구하고 피해가 확대되었다는 점이다. EDR은 컴퓨터나 서버 등 엔드포인트에 존재하는 위협을 탐지, 조사, 대응하는 보안 제품이다.

아사히 GHD는 같은 해 11월 27일 기자회견에서 “EDR을 도입했지만 공격자의 수법이 정교하고 고도화되어 탐지하지 못했다”(가쓰키 아쓰시 사장)고 밝혔다. 아스크루는 같은 해 12월 17일 취재에서 “(공격자는) EDR 등 취약점 대응 소프트웨어를 무효화하고 파일 쓰기 권한을 획득해 랜섬웨어를 배치했다”(이케다 가즈유키 CDXO)고 설명했다.

두 기업은 EDR이 어떻게 회피되었는지는 밝히지 않았다. 이에 대해 악성코드 대응 전문가인 미쓰이물산 시큐어디렉션의 요시카와(吉川) 분석기술자에게 랜섬웨어 공격자가 자주 사용하는 EDR 회피 수법을 물었다.

-- 후킹과 BYOVD로 우회 --
요시카와 분석기술자에 따르면 EDR 회피 수법은 크게 두 가지로 나뉜다. ‘우회’와 ‘무효화’이다.

우회란 EDR의 감시 체계를 교묘히 빠져나가 공격자의 활동이 보이지 않도록 하는 것을 의미한다. EDR은 정상적으로 작동하지만 공격자의 행위를 탐지하지 못한다.

구체적인 우회 수법 두 가지를 소개한다. 첫 번째는 ‘후킹 우회’이다. 후킹이란 프로그램 실행 과정에 개입하여 그 동작을 포착, 감시, 변경하는 기술을 통칭한다.

EDR은 감시에 후킹을 사용한다. 이 후킹을 실행 중인 프로세스에 불법적으로 개입하는 등의 방식으로 우회하는 것이다.

EDR에는 후킹된 API(Application Programming Interface)가 동일한 API를 호출해 무한 루프에 빠지는 것을 방지하기 위해 후킹을 건너뛰는 구조가 있다.

API가 동일한 API를 호출하는 것을 재귀라고 한다. 악성코드가 EDR에게 ‘재귀가 발생했다’고 오인하게 함으로써 후킹을 우회하고 감시를 회피하는 것이다.

또 다른 하나는 ‘BYOVD(Bring Your Own Vulnerable Driver)’를 이용한 우회다. BYOVD는 알려진 취약점을 가진 정상 드라이버를 공격자가 가져와 악용하여 커널 권한을 탈취하는 공격 기법이다. 커널 권한을 획득하면 EDR의 알림 기능을 삭제하거나 파일 감시 기능을 중단시킬 수 있다.

-- 에이전트를 무효화한다 --
다음으로 무효화를 설명한다. 무효화란 말 그대로 EDR의 정상적인 동작을 방해하는 방법이다.

여기서는 3가지 구체적인 방법을 소개한다. 첫 번째 방법은 ‘EDR 에이전트 무효화’이다. 에이전트는 감시 대상인 컴퓨터나 서버에 설치되는 소프트웨어로, 동작을 감시하거나 정보를 수집한다.

이 에이전트를 정식 언인스톨러를 악용하거나 다른 EDR을 설치하는 방식으로 무효화한다. 앞서 설명한 BYOVD로 획득한 커널 권한을 이용해 EDR 프로세스를 강제 종료하는 방법도 있다.

두 번째 방법은 ‘통신 차단’이다. EDR은 에이전트와 서버가 연동되어 높은 탐지 및 대응 성능을 발휘한다. 이 에이전트와 서버 간 통신을 Windows 방화벽 등을 이용해 차단하는 것이다. 요시카와 분석기술자는 “통신이 차단되면 공격자가 일부 탐지를 우회할 가능성이 있다”라고 말한다.

세 번째 방법은 ‘EDR 관리 콘솔에 대한 불법 접근’이다. 공격자가 관리 콘솔에 접근해 관리자를 가장해 로그인하면 “정책을 완화해 탐지 민감도를 낮춘다” “탐지 제외 설정을 추가한다” “알림 상태를 ‘해결됨’으로 변경한다” “에이전트를 중지하거나 삭제한다” 등 모든 수단을 사용할 수 있다. “모든 단말의 보호를 일괄적으로 무효화하는 것까지 가능하기 때문에 매우 위험하다”(요시카와 분석기술자).

다만 요시카와 분석기술자는 “이러한 수법은 ‘정교하고 고도화된’ 수준이라고 보기는 어렵다. 정말 고도화된 공격이란 기존에 없던 방식으로 수행되는 공격이다. 표적 조직에만 존재하는 시스템 특성을 노리거나, 표적에 특화된 전용 악성코드를 개발하는 등의 방법이 이에 해당한다”(요시카와 분석기술자). 이번에 소개한 수법은 보안 담당자가 최소한 알아 두어야 할 기본적인 것들이다.

-- EDR의 신뢰성은 흔들리지 않는다 --
한편 요시카와 분석기술자는 EDR을 회피하는 공격이 존재하더라도 “EDR 자체의 유용성과 신뢰성은 흔들리지 않는다”고 강조한다. EDR은 도입만 하는 것이 아니라 도입 이후의 관리와 감시 유지가 필수적이다. 이를 적절히 수행해야 EDR이 효과를 발휘한다.

즉, EDR 자체에 문제가 있는 것은 아니다. 도입했음에도 공격 피해가 확대되는 배경에는 운영 체계가 충분히 갖춰지지 않았을 가능성이 있다. EDR을 누가 어떻게 운영하고 있는지, 체계를 제대로 정비해 공격에 대비할 필요가 있다.

 -- 끝 --
 

Copyright © 2026 [Nikkei Network] / Nikkei Business Publications, Inc. All rights reserved.

닛케이 NETWORK_26.02호 목차

특집1
・이것만 알면 충분하다 -- 보안 담당자, 1년차의 교과서

・[Part 1] 기초 이해하기
기업의 정보와 시스템을 지키다 -- 3가지 기본 관점

・[Part 2] 보호 대상 이해하기
기본은 ‘경계’를 중시, 중요 보호 대상은 3가지

・[Part 3] 공격 이해하기
악성코드와 공격 기법의 기초 -- 랜섬웨어 공격 사례로 배우기

・[Part 4] 인증 방어 이해하기
가장 먼저 지켜야 할 인증정보 -- 다중인증으로 보안 강화

뉴스로 이해하기
・NEWS Close-up 1
내부 비위가 초래하는 정보 유출 위기

・NEWS Close-up 2
랜섬 공격자가 사용하는 ‘EDR 회피’에 주의

・NEWS Close-up 3

2026년 보안 위협 전망 잇따라 발표

・piyokango의 월간 시스템 장애

TAC, 개인정보 공개 상태로 방치 -- 작업 실수로 11년 이상 방치

・월간 랜섬 리포트
2025년 11월의 랜섬 피해는 70건 감소 -- ‘Qilin’은 활동 둔화에도 공격 건수 1위

현장을 알다
・당사자가 말한다! 장애에서 탈출
파일 복사만으로 수시간 소요 -- ‘바꾸지 않는 사용 방식’이 문제

・엔지니어의 이야기
장애 대응에 적극 참여하며 성장 -- 물리 계층과의 연결은 지금도 중요
인터넷 이니셔티브 네트워크서비스사업본부 네트워크기술부의 요모기다 유이치(蓬田 裕一) 과장

・인터넷은 왜 연결되는가?
인터넷의 전체 구조 이해하기

・맬웨어 완전 해부
랜섬웨어 공격자와 협상해야 할까?

특집2
・대학과 고등전문학교 교육 현장 취재
‘미래의 보안 인재’를 육성하다

특별 리포트
・NTT가 노리는 차세대 네트워크 구축의 병목 해소
경쟁이 격화되는 광전 융합 기술

네트워크 스페셜리스트 시험으로 배우다 – 네트워크 기술의 기본
・네트워크 장애에 대응

기초부터 배우다
・전문가에게 묻는 초보 질문
비밀번호는 정기적으로 바꿔야 할까?

・그림으로 이해하는 네트워크 필수 키워드
로드밸런서(Load Balancer)

・호쿠고 다쓰로(北郷 達郎)의 테크놀로지 온고지신
GPU는 정말 생성형 AI에 최적인가?

・스퀘어

 -- 끝 --
 

Copyright © 2026 [Nikkei Network] / Nikkei Business Publications, Inc. All rights reserved.