MFA를 켜놓으면 VPN이 뚫려도 막을 수 있다. 이 통념이 2026년 들어 흔들리고 있다. Citrix NetScaler의 메모리 누수 취약점 은 세션 토큰을 직접 훔쳐 MFA 단계 자체를 건너뛴다. 여기에 정상 원격 관리 도구 7종과 Cloudflare 터널 클라이언트(cloudflared)가 더해지면, 공격자가 내부망을 장악하는 동안 보안팀의 SIEM은 'ScreenConnect 세션 증가'라는 경보만 기록하고 있다.
2026년 7월 Arctic Wolf가 공개한 보고서에 따르면 Anubis 랜섬웨어 운영 조직은 이 조합으로 83개 조직을 침해했다. 같은 시기 다른 랜섬웨어 그룹들은 BYOVD(Bring Your Own Vulnerable Driver, 취약 드라이버 반입)로 EDR 자체를 커널에서 제거하는 단계를 추가했다. 정상 서명이 붙은 드라이버를 시스템에 로드한 뒤 그 드라이버의 결함을 이용해 커널 권한을 얻는 방식이다. 세 기법은 각각 MFA·네트워크 가시성·EDR이라는 다른 방어 계층을 무력화하며, 하나가 막혀도 다른 하나가 공격을 이어가는 구조다.
CVE-2025-5777: MFA를 우회한 메모리 누수
은 Citrix NetScaler ADC와 Gateway 제품의 인증 엔드포인트에서 발견된 사전 인증(pre-auth) 메모리 누수 취약점이다. CVSS 4.0 기준 9.3(Citrix 산정), CVSS 3.1 기준 7.5로, 인증 없는 원격 공격자가 트리거할 수 있다.
공격 방식은 단순한데, 그것이 오히려 탐지를 어렵게 만든다. 공격자가 로그인 파라미터 값을 비운 채 조작된 HTTP POST 요청을 보내면, NetScaler가 스택에 남아 있던 초기화되지 않은 메모리를 XML 응답의 <InitialValue> 필드로 반환한다. 그 안에 담긴 세션 토큰을 추출하면 MFA를 통과하지 않고도 피해자의 NetScaler 세션을 재사용할 수 있다.
탈취한 토큰으로 접속하면 NetScaler 입장에서는 정상 세션이어서 기본 로그에는 이상이 기록되지 않는다. ReliaQuest가 확인한 유일한 흔적은 /oauth/idp/.well-known/openid-configuration 경로로 향하는 비정상적으로 긴 Host 헤더다. 24,812자 이상 관측된 사례가 있는데, 정상 트래픽에서는 나올 수 없는 길이다.
("Citrix Bleed 1")의 재현에 가까운 메커니즘이라 "Citrix Bleed 2"로 불린다. Citrix는 2025년 6월 17일 취약점을 공개했고, 미국 CISA는 2025년 7월 10일 KEV(알려진 악용 취약점 목록)에 등재하며 현장 악용을 공식 확인했다.
영향 버전: NetScaler ADC/Gateway 14.1 < 14.1-43.56, 13.1 < 13.1-58.32, 12.1·13.0(EOL 포함). Gateway 또는 AAA 가상 서버 구성 시에만 해당.
Anubis는 외에도 호스팅 ASN에서 발생한 Cisco AnyConnect VPN 유효 계정을 초기 침투에 병행 사용했다. 두 경로 모두 정상 로그인처럼 보여 로그인 시점에서의 탐지가 어렵다.
RMM 7종 + cloudflared: IT 트래픽 속에 숨기
초기 침투 후 Anubis 계열 공격자들은 표적 조직의 IT 팀이 쓰는 정상 원격 관리 소프트웨어를 여러 종 설치해 지속 접근을 유지한다. Arctic Wolf가 확인한 도구 목록:
도구
특이사항
ScreenConnect
azuremicrosoft[.]us 도메인에서 배포, Microsoft 인프라 위장
Zoho Assist
클라우드 기반 세션, 방화벽 투명 통과
MeshAgent
오픈소스, 시그니처 기반 탐지 회피
Remotely
무료·경량, 자체 C2 서버 호스팅 가능
UltraVNC
레거시 도구, 레이더 아래 잠복
Total Software Deployment
IT 자동화 도구로 위장
mRemoteNG
다중 프로토콜 원격 접속 관리기
7종을 동시에 설치하는 이유가 있다. 보안팀이 하나를 탐지해 차단해도 나머지 6종으로 즉시 접근을 이어가기 위해서다. 개별 도구 차단만으로는 공격자의 내부망 접근을 끊을 수 없는 구조다.
ScreenConnect 인스톨러 하나는 azuremicrosoft[.]us 도메인에서 배포됐다. 공식 microsoft.com이 아닌 유사 도메인을 등록해 관리자 경보를 우회한 사례다.
cloudflared 활용도 확인됐다. cloudflared는 원래 조직이 방화벽 규칙 변경 없이 내부 서비스를 Cloudflare 인프라를 통해 외부로 노출하기 위한 정식 터널 클라이언트다. 공격자는 이 도구를 피해 시스템에 설치해 반대 방향 아웃바운드 터널을 개설했다. Windows에서는 C:\Windows 경로, Synology NAS에서는 /usr/local/etc/cloudflared 아래 구성 파일이 발견됐다. Cloudflare 인프라를 경유하므로 목적지 IP만으로는 C2 서버를 특정할 수 없다.
이 단계가 실질적인 마지막 탐지 기회다. RMM과 cloudflared가 배포되는 순간을 지나치면 이후 BYOVD 단계에서 EDR 자체가 눈을 감는다.
BYOVD: 커널에서 EDR을 끄는 2026 표준 절차
Anubis가 RMM과 cloudflared로 지속 접근을 확보하는 동안, 다른 랜섬웨어 그룹들은 암호화 전에 BYOVD 단계를 추가하고 있다. 2026년 3월 발표된 연구에 따르면 54개 EDR 킬러 도구가 35종의 정식 서명 드라이버를 악용한다.
공격자는 유효한 디지털 서명이 붙어 있지만 알려진 취약점이 있는 드라이버를 시스템에 로드한다. 서명이 정상이므로 OS와 보안 소프트웨어가 신뢰한다. 이 드라이버의 취약점을 익스플로잇하면 커널 수준 코드 실행이 가능해지고, EDR 프로세스를 종료하거나 커널 콜백을 제거해 보안 도구가 이벤트를 더 이상 수신하지 못하게 만든다. EDR은 여전히 실행 중이지만 사실상 장님이 된다.
MITRE ATT&CK 분류는 T1068(권한 상승을 위한 취약점 익스플로잇)과 T1562.001(방어 회피: 보안 도구 비활성화)이다. 2026년에는 Reynolds 랜섬웨어가 NsecSoft NSecKrnl 드라이버()를 페이로드에 직접 내장한 사례가 확인됐다. NSecKrnl은 국내에도 도입된 엔드포인트 관리 솔루션에 포함되는 커널 컴포넌트로, 정식 서명이 붙어 있어 반입 시 EDR·OS의 신뢰를 통과한다. 이 방식으로 Reynolds는 별도 드라이버 배포 단계 없이 암호화 직전에 즉시 EDR 15종 이상을 제거한다.
3개 층이 만드는 탐지 공백
각 단계가 이전 단계의 탐지 어려움을 증폭한다. 단계에서 탈취한 세션은 정상 세션과 구분되지 않고, 유일한 흔적인 긴 Host 헤더는 대량 로그 속에 묻히기 쉽다. RMM 단계에서는 IT 관리 트래픽으로 위장된다. cloudflared 터널은 C2 목적지를 숨긴다. BYOVD 단계가 시작되면 EDR 자체가 무력화된다. 실질적으로 탐지 가능한 창은 RMM과 cloudflared가 배포되는 두 번째 단계뿐이다. BYOVD가 시작되면 EDR은 이미 눈을 감고 있다.
탐지 관점
이 공격 체인이 남기는 세 가지 흔적:
Citrix 세션 이상 패턴: 동일 세션 토큰이 여러 소스 IP에서 재사용되거나, 데이터센터 호스팅 ASN에서 발생한 Citrix 세션이 나타나면 악용 신호다. /oauth/idp/.well-known/openid-configuration 경로에 대한 24,812자 이상의 비정상적으로 긴 Host 헤더도 주요 지표다(ReliaQuest).
RMM 클러스터링: 인증 이상 → RMM 다중 배포 → 외부 유출 도구가 같은 호스트에서 짧은 시간 내 발생하는 패턴이 탐지 핵심이다. 인가되지 않은 ScreenConnect나 MeshAgent 프로세스, 특히 azuremicrosoft[.]us 같은 비공식 도메인에서 내려받은 인스톨러는 즉시 격리 대상이다.
드라이버 로드 이벤트: Sysmon 이벤트 ID 6(드라이버 로드)과 LOLDrivers 취약 드라이버 목록을 교차 확인하면 BYOVD 시도를 조기에 포착할 수 있다. 시스템 경로 외부에서 커널 드라이버가 설치되는 것도 강력한 이상 신호다.
한국 함의
한국 금융·제조·의료 기관 다수가 Citrix NetScaler를 VPN 게이트웨이로 운용한다. 은 Gateway 또는 AAA 가상 서버 구성 시에만 적용되지만, 원격 근무 인프라를 갖춘 조직이라면 이 조건을 충족할 가능성이 크다. 미국 CISA가 2025년 7월 10일 KEV에 등재한 이후에도 14.1-43.56 이상으로 업데이트되지 않은 장비는 지금도 취약한 상태로 남는다.
핵심은 패치 여부만이 아니다. Anubis가 83개 조직을 침해한 방식은 MFA가 켜져 있어도, EDR이 돌아가고 있어도 작동했다. 국내 기관도 동일한 방어 계층을 운용하는 한, 세션 토큰 재사용 모니터링·RMM 인벤토리 관리·드라이버 로드 감사 중 한 곳이 비어 있으면 같은 조합에 노출된다.