킬린(Qilin), WSL·원격툴·BYOVD 악용한 ‘하이브리드’ 랜섬 전술 포착
트렌드마이크로·시스코 탈로스 분석에 따르면 킬린(Qilin) 랜섬웨어 조직은 WSL(Windows Subsystem for Linux)을 악용해 윈도우 환경에서 리눅스(ELF) 암호화기를 실행하고, 합법적 원격관리 툴과 취약 서명 드라이버(BYOVD)를 통해 EDR·백신을 무력화하는 전술을 사용하고 있다. 기업은 WSL 모니터링·원격툴 사용 통제·취약 드라이버 차단 등 대응이 필요하다.
공격 개요
킬린 조직은 윈도우 환경에서 리눅스 암호화툴을 구동하는 새로운 수법을 사용한다. 공격자는 원격관리 프로그램(예: Splashtop)의 관리 인터페이스로 접근 권한을 확보한 뒤, WinSCP 등 파일전송 도구로 ELF 암호화기를 전송하고 WSL을 설치해 그 안에서 암호화기를 실행함으로써 전통적 윈도우 EDR의 탐지를 회피했다.
주요 전술 요소
- WSL 악용 — 윈도우 상에서 리눅스 바이너리(ELF)를 실행하여 윈도우용 보안 탐지망을 회피.
- 합법적 원격관리·파일전송 도구 악용 — Splashtop, AnyDesk, ScreenConnect, WinSCP, Cyberduck, WinRAR 등 합법 툴을 통해 침투 및 데이터 유출 수행.
- BYOVD(취약 드라이버) 사용 — 서명된 취약 드라이버를 로드해 보안 제품(EDR/백신)을 중단시키고 커널 권한을 확보.
- 오픈소스·관리용 툴 활용 — dark-kill, HRSword 등으로 보안 서비스 비활성화 및 흔적 삭제.
- 가상서버 표적화 — VM웨어 등 가상화 환경에서도 작동하도록 암호화 옵션을 지원, 데이터센터·가상 인프라 동시 마비 가능.
공격 피해 범위 및 추세
보고서는 킬린이 2025년 한 해에 62개국 약 700개 이상의 조직을 공격했다고 집계했다. 특히 하반기 활동이 급증하여 월 40건 이상이 다크웹 유출 페이지에 게시되는 등 활발한 위협 그룹으로 평가된다.
탐지 포인트 (실무)
- WSL 활동 모니터링 — WSL 설치/실행 이력, wsl.exe 프로세스, 리눅스 바이너리 실행 로그(./)를 수집·분석.
- 원격툴 사용 흔적 감지 — Splashtop/AnyDesk/ScreenConnect의 비정상적 설치·세션과 WinSCP 등 외부전송 로그 모니터링.
- 취약 서명 드라이버 탐지 — 드라이버 로드 이벤트, 서명 검증 실패 로그, 새로운 서명된 드라이버 설치 시 알람.
- EDR/백신 비활성화 시도 감지 — 서비스 중지·uninstall 실행·DLL 사이드로딩 흔적을 기반으로 이상행위 룰 적용.
- 가상화 환경 감시 — ESXi/VMware 쪽의 비정상 API 호출, VM 내 프로세스의 암호화 활동 징후 탐지.
즉시 권장 대응 조치
- WSL 사용 최소화 — WSL 불필요 환경에서는 비활성화(또는 설치 제한 정책 적용).
- 원격 관리툴 통제 — Splashtop/AnyDesk/ScreenConnect 사용 현황 파악 및 승인기반 접근 제한, 관리자 권한 범위 최소화.
- 취약 드라이버 차단 — 허용된 드라이버 목록(whitelist) 적용, 드라이버 서명 검증 강화 및 드라이버 설치 알림 활성화.
- EDR 무력화 방지 — EDR 보호모드(커널 보호) 활성화, 서비스 종료·삭제 시 원격 경고 설정.
- 네트워크 분리·세분화 — 관리용 네트워크와 운영(프로덕션) 네트워크 분리, 중요 인프라에 접근 제어 적용.
- 로그·증적 수집 강화 — WSL, 원격툴, 드라이버 로드, 파일전송 로그를 중앙로그(시큐리티 SIEM)로 수집·상관분석.
- 패치·취약점 관리 — 원격툴·드라이버·호스트 OS·가상화 플랫폼의 최신 보안패치 적용.
- MFA·계정 관리 강화 — 원격 접속 계정에 다중인증 적용, 특권 계정 모니터링·주기적 비밀번호 교체.
중장기적 권장 사항
- 하이브리드 인프라(윈도우+리눅스)를 고려한 통합 탐지 로직 설계
- 취약 서명 드라이버에 대한 공급망 검증 및 신규 드라이버 설치 요청 프로세스 확립
- 보안 운영팀(SOC)에 WSL·가상화·드라이버 관련 탐지 룰 교육 실시
본 기사는 공개 분석 보고서의 기술적 요약을 바탕으로 실무자 관점에서 탐지·대응 권고를 추가한 내용입니다. (출처 표시는 본문에 포함하지 않음)
[함께 보면 좋은 포스팅]
2025.10.30 - [IT 소식 뉴스/IT 소식] - KT 계열 알티미디어, 킬린(Qilin) 랜섬웨어 공격 대상 등재
KT 계열 알티미디어, 킬린(Qilin) 랜섬웨어 공격 대상 등재
KT 계열 알티미디어, 글로벌 랜섬웨어 조직 ‘킬린(Qilin)’ 공격 대상에 등재 KT 계열 미디어 솔루션 기업 알티미디어(Altimedia)가 글로벌 랜섬웨어 조직 ‘킬린(Qilin)’의 공격 대상 명단에 오른 것
one-day-growth.com
2025.10.12 - [IT 소식 뉴스/IT 소식] - 최신 랜섬웨어 퀼린(Qilin) vs 다이어 울프(Dire Wolf)
최신 랜섬웨어 퀼린(Qilin) vs 다이어 울프(Dire Wolf)
🦠 최신 랜섬웨어 퀼린(Qilin) vs 다이어 울프(Dire Wolf) 비교 및 대응 전략2025년 상반기, 사이버 보안 분야에서는 ‘퀼린(Qilin)’과 ‘다이어 울프(Dire Wolf)’라는 두 랜섬웨어가 전 세계적으로 큰 주
one-day-growth.com
2025.10.05 - [IT 소식 뉴스/IT 소식] - 최신 IT 위협 분석 (AI 보안, 랜섬웨어, 클라우드)
최신 IT 위협 분석 (AI 보안, 랜섬웨어, 클라우드)
🔍 2025년 IT 보안 업계 주요 이슈 요약🧠 AI 보안 기술의 진화와 한계AI 기반 보안 이상행위 탐지 AI vs AI 오탐지 / 미탐지“AI가 자체적으로 위협을 판단하고 자동 대응까지 수행하는 수준”“공
one-day-growth.com
2025.10.17 - [IT 소식 뉴스/IT 소식] - 카스퍼스키, 3분기 국내 사이버 공격 통계 발표 — 인터넷 위협 감소·로컬 위협 증가
카스퍼스키, 3분기 국내 사이버 공격 통계 발표 — 인터넷 위협 감소·로컬 위협 증가
카스퍼스키, 3분기 국내 사이버 공격 통계 발표 — 인터넷 위협 감소·로컬 위협 증가 카스퍼스키에 따르면, 2025년 7월부터 9월까지 국내에서 탐지된 인터넷 기반 사이버 공격 건수는 총 989,110건
one-day-growth.com
'IT 소식 뉴스 > IT 소식' 카테고리의 다른 글
| 카카오톡 이전버전(25.7.3 이하)으로 되돌리기 방법 (6) | 2025.11.01 |
|---|---|
| 신종 랜섬웨어 '모노록(Monolock)' 분석 및 대응 종합 가이드 (1) | 2025.11.01 |
| Windows11 초기 환경설정 | 속도 저하 원인 및 성능 향상 설정 가이드 (13) | 2025.10.30 |
| KT 계열 알티미디어, 킬린(Qilin) 랜섬웨어 공격 대상 등재 (2) | 2025.10.30 |
| 카스퍼스키, 크롬 제로데이 악용 캠페인 ‘오퍼레이션 포럼트롤’…이탈리아 스파이웨어 유포 (1) | 2025.10.30 |