[2026-04-24] MS 팀즈로 접근한 가짜 IT 지원팀, ‘스노우’ 악성코드로 기업 내부망 침투

 

 

 

 

 

오늘의 뉴스클리핑의 이슈는 바로 ‘스노우’ 악성코드로 MS 팀즈 기업 내부망 침투입니다 - !

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

‘스노우’ 악성코드로 MS 팀즈 기업 내부망 침투

 

구글 클라우드 산하 맨디언트 연구팀은 UNC6692로 추적되는 위협 행위자가 마이크로소프트 팀즈를 악용하여 기업 내부망에 침투한 뒤 스노우라 불리는 맞춤형 악성코드 묶음을 배포한 사건을 분석했다. 공격자는 IT 지원팀을 사칭하여 사용자의 신뢰를 얻는 방식을 취했으며, 설치된 악성코드는 단순한 피싱을 넘어 브라우저 확장 프로그램과 터널링 도구를 활용해 기업의 도메인 권한까지 장악하려 시도한 고도의 사회공학적 공격으로 확인되었다.

 

스노우(SNOW)
Snowlight : 초기 침투 및 실행을 담당하는 로더(Loader)
Snowglaze : 웹소켓 기반 터널을 만들어 공격자 서버와 은밀하게 통신하는 도구
Snowbasin : 파이썬 기반 백도어로, 원격 명령 실행과 지속적인 제어를 담당
Snownoise / Snowflake 등 : 추가 기능 수행용 변종 악성코드

 

 

 

 

공격과정1 : 초기 침투 및 악성코드 설치

공격자는 먼저 피해자에게 대량의 이메일 폭탄을 발송하여 업무 환경을 혼란스럽게 만든 뒤, 마이크로소프트 팀즈를 통해 IT 헬프데스크 직원으로 위장하여 접근하여 메일 문제를 해결해 주겠다는 명분으로 외부 계정 초대를 수락하게 유도하였다. 피해자가 초대를 수락하면 스팸 차단용 패치 설치를 권유하며 AWS S3 저장소 링크를 전달하고, 이를 통해 오토핫키 실행 파일과 악성 스크립트를 사용자 시스템에서 실행시켰습니다. 이렇게 설치된 스크립트는 초기 정찰을 수행한 후 크로미엄 기반의 악성 브라우저 확장 프로그램인 스노우벨트를 설치하며, 시스템 재부팅 시에도 악성 기능이 유지되도록 예약 작업과 시작 폴더에 바로가기를 생성하여 지속성을 확보하였다.

 

 

 

공격과정2 : 내부망 정찰, 계정 탈취 및 도메인 장악

시스템에 안착한 공격자는 스노우글레이즈를 통해 웹소켓 터널을 생성하여 공격자 서버와 은밀하게 통신하였으며, 파이썬 기반 백도어인 스노우베이슨을 통해 감염된 시스템에서 원격 명령을 수행하기 시작하였다. 이후 윈도우 인증 프로세스인 LSASS 메모리를 덤프하여 로그인 세션과 인증 정보를 확보하고, 비밀번호를 몰라도 계정 권한을 사용할 수 있는 패스더해시 기법을 사용하여 내부망을 정찰하였다. 최종적으로는 포렌식 도구인 FTK 이미저를 동원해 액티브 디렉터리 데이터베이스와 시스템 레지스트리 하이브를 추출함으로써 기업 전체의 계정 정보를 분석하고 해당 데이터를 외부로 탈취하였다.

 

 

 

시사점

이번 공격 사례는 기술적인 제로데이 취약점보다 사용자의 신뢰와 업무 프로세스의 허점을 악용했다는 점에서 협업 도구의 보안 설정이 얼마나 중요한지를 보여주고 있다. 기업은 외부 사용자가 내부 임직원에게 직접 연락하거나 초대를 보낼 수 있는 범위를 엄격하게 제한하도록 팀즈 정책을 재설정하고, 공식 지원 계정의 표시 방식과 원격 지원 절차를 명확히 표준화해야 한다. 또한 임직원 교육 역시 단순한 예방 수칙 전달에서 벗어나 팀즈나 브라우저 확장 프로그램 설치 유도와 같은 실제 업무 상황과 결합된 고도의 사회공학적 공격 시나리오를 바탕으로 강화되어야 한다.

 

 

 

개인의견

이번 사례를 보면서 사이버 공격은 이제 단순히 시스템의 기술적 취약점을 노리는 것이 아니라 사람의 심리와 일상적인 업무 환경 자체를 공격 대상으로 삼고 있다는 점이 가장 무섭다고 느꼈다. 특히 Microsoft Teams처럼 평소 가장 자주 사용하는 협업 도구가 공격 통로가 될 수 있다는 사실이 인상적이었다. 우리는 보통 수상한 이메일은 의심하지만 회사 메신저나 IT 지원팀의 연락은 자연스럽게 신뢰하게 되는데, 공격자는 바로 이러한 심리를 이용해 피해자가 직접 악성코드를 설치하도록 만들었다. 또한 특별한 제로데이 취약점 없이도 내부망 침투, 계정 탈취, 도메인 장악까지 가능하다는 점에서 더욱 현실적인 위협이라고 생각한다. 결국 보안은 최신 장비만으로 해결되는 것이 아니라 직원들의 보안 의식과 확인 습관이 가장 중요하며, 문제가 발생했을 때 조급하게 대응하기보다 반드시 공식적인 절차를 통해 확인하는 태도가 필요하다고 느꼈다.

 

 

 

 

AutoHotkey : 윈도우에서 반복 작업을 자동화하기 위한 스크립트 기반 프로그램

헤드리스 모드 (Headless Mode) : 화면 없이 백그라운드에서 프로그램을 실행하는 방식

SMB (Server Message Block) : 윈도우 환경에서 파일 공유와 네트워크 자원 접근에 사용하는 통신 프로토콜

LSASS : 윈도우에서 로그인 인증과 보안 정보를 관리하는 핵심 프로세스

메모리 덤프 (Memory Dump) : 실행 중인 프로그램의 메모리 내용을 파일 형태로 추출하는 작업

패스더해시 (Pass-the-Hash) : 비밀번호 원문 없이 해시값만으로 인증을 우회하는 공격 기법

FTK Imager : 디지털 포렌식 분석에 사용되는 데이터 복사 및 증거 추출 도구

액티브 디렉터리 (Active Directory) : Microsoft의 윈도우 도메인 환경에서 사용자와 권한을 관리하는 서비스

SAM (Security Account Manager) : 윈도우에서 사용자 계정과 비밀번호 정보를 저장하는 데이터베이스

 

 

 

기사 출처 : https://www.dailysecu.com/news/articleView.html?idxno=206451