보안(News)

믿었던 도구의 배신, MS AzCopy(애즈카피)를 이용한 랜섬웨어 데이터 유출 주의보

person GOEST지기 | calendar_today 2026. 3. 9.

 

안녕하세요, IT 보안 소식을 전하는 지오이스트입니다.

 

최근 시스템을 암호화하여 돈을 요구하는 랜섬웨어 공격자들이 단순히 파일만 잠그는 것이 아니라, 암호화 전 데이터를 미리 빼돌려 협박 수위를 높이는 '이중 협박' 전술을 주로 사용하고 있습니다.

그런데 최근, 이 데이터 탈취 과정에서 마이크로소프트(MS)의 정상적인 클라우드 데이터 전송 도구인 '애즈카피(AzCopy)'가 악용되고 있다는 충격적인 사실이 밝혀졌습니다.

 

보안팀의 눈을 속이기 위해 더욱 치밀해진 공격자들의 수법과 대응 방안에 대해 알아보겠습니다.

🔎 무엇이 문제인가? 신뢰받는 도구의 배신

AzCopy는 마이크로소프트 애저(Azure) 블롭 스토리지(Blob Storage)와 데이터를 주고받을 때 사용하는 명령줄 도구입니다. 대용량 데이터를 빠르고 쉽게 전송할 수 있어 많은 IT 관리자들이 신뢰하고 사용하는 정상적인 도구입니다.

하지만 랜섬웨어 공격자들은 이 '정상적'이라는 점을 악용했습니다.

공격자들이 AzCopy를 선호하는 이유:

  1. 별도 설치 불필요 (Standalone): 단독 실행 파일 형태라 공격 대상 서버에 흔적을 많이 남기지 않고 바로 실행할 수 있습니다.
  2. 탐지 회피 (EDR 우회): 정상적인 HTTPS 연결을 사용하기 때문에, 대부분의 엔드포인트 탐지 및 대응(EDR) 솔루션이나 방화벽이 이를 악성 트래픽으로 인지하지 못하고 통과시킵니다. 마치 기업이 정상적으로 클라우드에 데이터를 백업하는 것처럼 보이기 때문입니다.

😈 공격자들의 치밀한 '3단계' 탈취 수법 (Varonis 분석)

글로벌 데이터 보안 기업 바로니스(Varonis) 위협 연구소의 분석에 따르면, 공격자들은 단순히 도구를 실행하는 것을 넘어 탐지를 피하기 위해 매우 치밀한 전술을 구사하고 있습니다.

1단계: 추적 불가능한 데이터 수집 서버 구축

과거에는 해커들이 불법 호스팅 서버로 데이터를 뺐지만, 이는 수사 당국에 의해 차단되기 쉬웠습니다. 이제 그들은 MS 애저 블롭 스토리지를 직접 개설하여 데이터 수집 서버로 활용합니다. MS 서비스를 이용하기 때문에 차단될 위험이 거의 없습니다.

2단계: 기간 한정 '열쇠'와 정밀한 타겟팅

공격자들은 애저 스토리지에 접근하기 위해 SAS(Shared Access Signature) 토큰을 생성합니다.

  • 보안 우회: 이 토큰이 있으면 비밀번호 없이도 스토리지에 접근할 수 있습니다.
  • 치밀함: 토큰이 '3일 8시간'처럼 특정 기간에만 활성화되도록 설정하여, 추후 보안 팀이 조사를 시작했을 때는 이미 토큰이 만료되어 추적을 어렵게 만듭니다.

3단계: 명령어를 이용한 지능적 유출

AzCopy의 다양한 파라미터(옵션)를 악용해 보안 탐지 시스템을 농락합니다.

  • --include-after 파라미터: 특정 날짜 이후 생성된 최신 파일만 골라냅니다. 영리하게 가치 있는 데이터만 빠르게 챙기는 것입니다.
  • --cap-mbps 파라미터: 가장 무서운 수법입니다. 업로드 속도를 의도적으로 제한합니다. 네트워크 트래픽이 갑자기 급증하면 보안 시스템에 걸리기 때문에, 임계값 아래로 속도를 낮춰 정상적인 동기화 작업처럼 위장합니다.

😱 결과: 흔적 인멸과 이중 협박

데이터 탈취가 성공적으로 완료되면 공격자들은 다음 단계를 진행합니다.

  1. 흔적 인멸: 조사가 시작되기 전, AzCopy 실행 로그가 남는 숨김 폴더(.azcopy)를 삭제하여 자신들의 행적을 지웁니다.
  2. 이중 협박: 시스템을 암호화하여 업무를 마비시키는 동시에, "돈을 안 주면 탈취한 기밀 데이터를 세상에 폭로하겠다"며 심리적·경제적 압박을 극대화합니다.

🛡️ 어떻게 방어해야 하나? 대응 방안

정상 도구를 악용하는 공격은 탐지가 매우 어렵습니다. 기존의 시그니처 기반 방어보다는 행위 기반의 모니터링이 필수적입니다.

  1. 외부 연결 모니터링 강화: 업무상 애저 스토리지와 통신할 일이 없는 시스템(특히 중요 데이터가 있는 서버)에서 발생하는 외부 연결 트래픽을 정밀하게 감시해야 합니다.
  2. UEBA (사용자 및 개체 행동 분석) 도입: 평소 직원의 파일 접근 패턴과 다르게 갑자기 수천 개의 파일에 접근하거나 읽는 행위가 발생하면 즉시 차단하고 경보를 울리는 시스템이 필요합니다.
  3. 애저 환경 보안 설정: 사내에서 생성되는 SAS 토큰의 생성 한도와 기간을 제한하고, 사용 로그를 철저히 관리해야 합니다.

믿었던 도구가 무기가 되어 돌아오고 있습니다. 이제 보안팀은 정상적인 도구의 사용 행위조차 "정말 정상인가?"라고 의심해 봐야 하는 시대입니다.

 

지금까지 지오이스트였습니다.

'보안(News)' 카테고리의 다른 글

“완벽한 소스 코드가 뚫렸다?”... 이미지 속에 숨은 메이지카트의 치밀한 함정  (0) 2026.03.23
인젝션 차단 믿었는데... 뚫려버린 방패, Node.js ORM '시퀄라이즈' 취약점 사태  (0) 2026.03.17
🚨 [긴급 진단] 보안 전문가 81%가 지목한 공포... 삼성SDS "2026년 최대 위협은 바로 AI"  (0) 2026.02.24
🚨 [이슈 진단] "배달의민족도 차단했다"... 자율형 AI '오픈클로'가 기업의 적이 된 이유  (0) 2026.02.12
🚨 [긴급 진단] MBC도 뚫렸다? 해킹 조직 '킬린'의 경고와 미스터리한 침투 경로  (0) 2026.02.11
auto_awesome

'보안(News)' 카테고리의 다른 글

“완벽한 소스 코드가 뚫렸다?”... 이미지 속에 숨은 메이지카트의 치밀한 함정

2026.03.23

인젝션 차단 믿었는데... 뚫려버린 방패, Node.js ORM '시퀄라이즈' 취약점 사태

2026.03.17

🚨 [긴급 진단] 보안 전문가 81%가 지목한 공포... 삼성SDS "2026년 최대 위협은 바로 AI"

2026.02.24

🚨 [이슈 진단] "배달의민족도 차단했다"... 자율형 AI '오픈클로'가 기업의 적이 된 이유

2026.02.12
더 보기 →