Microsoft DCU가 2026년 5월 차단한 Fox Tempest의 악성코드 서명 서비스 운영 분석. Rhysida·Qilin·Akira 등 랜섬웨어 5종에 위조 서명을 제공한 1년간의 MSaaS 활동과 MITRE T1553.002 탐지 관점.
댓글은 익명으로 작성되며, 삭제 비밀번호를 설정하면 본인만 삭제할 수 있습니다. 비밀번호를 설정하지 않은 댓글은 누구나 삭제할 수 있습니다.
2026년 5월 19일, Microsoft Digital Crimes Unit(DCU)이 법원 명령을 집행했다. 표적은 Fox Tempest였다. 이 그룹은 1년간 랜섬웨어 조직들에게 "합법적으로 서명된" 악성코드를 판매한 MSaaS(Malware-Signing-as-a-Service) 운영자다. 당일 1,000개 이상의 위조 코드 서명 인증서가 취소됐고, 수백 개의 Azure 테넌트와 가상머신이 오프라인 상태로 전환됐다.
Fox Tempest가 주목받는 이유는 피해자를 직접 공격하지 않는다는 점에 있다. 이들은 랜섬웨어 배포자들이 보안 소프트웨어의 서명 검증을 통과할 수 있도록 인프라를 제공했다. 영국국립도서관(British Library), 시애틀-타코마 국제공항, 미국 병원과 학교가 이 서비스를 이용한 Vanilla Tempest의 공격을 받았다. Microsoft가 서명된 파일로 보이는 악성코드를 직접 신뢰했다는 점, 즉 서명 자체가 공격 도구가 됐다는 점이 이 그룹을 기존 랜섬웨어 조직과 구별 짓는 핵심이다.
| 항목 | 세부 내용 |
|---|---|
| 활동 기간 | 2025년 5월 ~ 2026년 5월 |
| 서비스명 | SignSpace (signspace[.]cloud) |
| 가격 | 서명 1건당 $5,000~$9,000 |
| 취소 인증서 수 | 1,000개 이상 |
| 관련 랜섬웨어 | Rhysida, INC, Qilin, Akira, BlackByte |
| 법적 조치 | 미국 뉴욕 남부지방법원 소송, FBI·Europol 협력 |
Fox Tempest는 Microsoft Threat Intelligence가 2025년 9월부터 추적한 금전적 동기의 위협 행위자다. Microsoft 명명 규칙에서 "Tempest" 접미사는 금전적 동기의 위협 행위자를 뜻한다(Vanilla Tempest, Storm 계열과 구별). MITRE ATT&CK Groups에는 아직 등재되지 않은 신규 그룹이다.
운영 자료에 영어와 러시아어가 혼용됐으며, 미국·캐나다의 도용된 신원을 사용해 Microsoft 코드 서명 검증을 통과했다. 직접 피해자를 공격하지 않는 인프라 조력자 모델을 채택해 귀속 추적이 어려웠다. Resecurity의 암호화폐 분석이 수백만 달러 규모의 수익을 추적했다. Microsoft 공식 분석에 따르면 서명 1건당 5,000~9,000달러 가격에 거래됐다.
Fox Tempest의 시그니처는 짧은 유효 기간의 Microsoft Artifact Signing 인증서를 대량으로 위조하는 방식이다. 고객이 악성 파일을 제출하면 Microsoft 공식 서명처럼 보이는 72시간짜리 인증서가 부착된 바이너리를 돌려받는다. Teams, AnyDesk, PuTTY, Webex 설치 파일로 위장해 배포됐다.
운영 방식은 두 단계로 진화했다.
1단계 (2025년 5월~2026년 2월): 포털 기반 signspace[.]cloud 웹 포털에서 악성 파일 업로드와 서명 반환 서비스를 제공했다. 고객 온보딩은 Google Forms를 사용했고, Telegram을 통해 EV 인증서 판매 광고를 운영했다.
2단계 (2026년 2월~5월): VM 기반
2025년 10월 Microsoft의 1차 인증서 취소 조치로 포털 기반 운영이 탐지되자, Fox Tempest는 미국 VPS 업체 Cloudzy의 인프라에 사전 구성된 가상머신을 배포하는 방식으로 전환했다. metadata.json, test.js, PowerShell 스크립트 패키지로 고객 운영이 단순화됐고, 기존 탐지 신호 일부가 우회됐다.
Vanilla Tempest × Rhysida 캠페인 (2025년 6월~) Fox Tempest 서비스의 핵심 고객이자 가장 적극적 활용 사례다. 가짜 Microsoft Teams 설치 파일(MSTeamsSetup.exe)에 Fox Tempest 인증서를 붙여 유포했다. 설치 시 Oyster/Broomstick 백도어가 작동하며 C2 통신이 시작됐고, 최종적으로 Rhysida 랜섬웨어가 배포됐다. 영국국립도서관과 시애틀-타코마 국제공항이 이 경로로 공격받았다.
1차 방해 조치 (2025년 10월) Microsoft가 Vanilla Tempest 캠페인에서 사용된 인증서 200개 이상을 취소했다. Fox Tempest는 이후 2026년 2월 VM 기반 모델로 전환해 운영을 재개했다. 방해를 받고도 인프라를 재편해 지속한다는 점이 이 그룹의 회복력을 보여준다.
Storm 계열 지원 (2026년 초) Microsoft 공식 보고에 따르면 Storm-0501, Storm-2561, Storm-0249 등 최소 3개 위협 행위자가 Fox Tempest 서비스를 사용한 것이 확인됐다. 이 기간 INC, Qilin, Akira, BlackByte 랜섬웨어 배포에 Fox Tempest 서명이 적용됐다. Lumma Stealer와 Vidar 같은 인포스틸러 배포에도 동일 서명 서비스가 활용됐다.
최종 차단 (2026년 5월 19일) Microsoft DCU가 FBI, Europol 산하 EC3, 보안 업체 Resecurity와 협력해 Fox Tempest 인프라를 전면 차단했다. 미국 뉴욕 남부지방법원에 소송이 제기됐고, signspace[.]cloud와 수백 대의 가상머신이 오프라인 상태로 전환됐다. 1,000개 이상의 귀속된 인증서가 취소됐다.
| 도구 | 역할 | 관련 위협 행위자 |
|---|---|---|
| SignSpace | MSaaS 핵심 플랫폼 | Fox Tempest 직접 운영 |
| Oyster/Broomstick | C2 백도어·페이로드 드롭퍼 | Vanilla Tempest |
| Rhysida | 랜섬웨어 최종 페이로드 | Vanilla Tempest |
| INC Ransomware | 랜섬웨어 | Storm 계열 |
| Lumma Stealer | 인포스틸러 | 다수 고객 |
Oyster/Broomstick 백도어는 C2 통신 구축과 추가 페이로드 드롭에 활용됐다.
세 기법은 순서 있는 체인으로 작동한다. 취득(T1588.003)이 없으면 서명(T1553.002)이 불가하고, 서명이 없으면 위장(T1036)의 신뢰도가 절반으로 떨어진다. Fox Tempest가 공급한 것은 이 체인의 첫 두 단계 전체다.
Fox Tempest 탐지의 핵심은 비정상적인 인증서 발급 패턴이다. 72시간짜리 Microsoft Artifact Signing 인증서가 새 Azure 테넌트에서 짧은 간격으로 반복 발급될 경우 MSaaS 서비스 활동의 지표로 볼 수 있다. Teams·AnyDesk·PuTTY 사칭 파일과 Rhysida·INC·Qilin 페이로드가 동일 Publisher 필드를 공유하는 패턴이 확인됐다. 서로 다른 악성코드 패밀리에서 같은 Publisher 값이 반복 등장하면 단일 서명 인프라 사용을 시사한다.
Sysmon Event ID 1(프로세스 생성)에서 Teams·AnyDesk 실행 직후 네트워크 연결(Sysmon Event ID 3)이 알 수 없는 외부 IP로 발생하는 패턴이 Oyster 백도어 활동과 일치한다. Azure AD 감사 로그의 단기간 대량 테넌트 생성 이상 징후도 유사 서비스 탐지에 활용된다.
Fox Tempest는 직접 침입하지 않고도 영국국립도서관과 시애틀-타코마 국제공항에 이르는 피해를 가능하게 했다. 조력자 모델의 위협은 공격자를 쫓는 것만으로 끝나지 않는다는 뜻이다. 서명 인프라를 통제하는 중간 공급자까지 추적 대상으로 올라야 공격 체인이 실질적으로 단절된다.
한국 환경에서도 Microsoft Teams가 기업 협업 도구로 광범위하게 사용되는 만큼, Fox Tempest 같은 MSaaS 인프라가 만드는 위협은 그대로 적용된다. Teams 사칭 파일이 합법 서명을 통과해 배포되는 패턴은 국내 기업 환경에서도 동일하게 작동할 수 있다. Fox Tempest 차단 이후 같은 인프라 또는 후속 MSaaS 서비스가 한국 표적 캠페인에서 재등장하는지가 KISA·AhnLab 후속 분석에서 주목할 추적 포인트다.
AI 활용 안내 이 글은 AI(Claude)의 도움을 받아 작성되었습니다. 인용된 통계와 사례는 참고 자료에 명시된 출처에 근거하며, 설명을 위한 일부 표현은 각색되었습니다.
면책 조항 본 글은 보안 인식 제고를 위한 교육 목적으로 작성되었습니다. 언급된 공격 기법을 실제로 시도하는 행위는 「정보통신망법」, 「형법」 등에 따라 처벌받을 수 있으며, 본 블로그는 이에 대한 법적 책임을 지지 않습니다.