Microsoft 인시던트 대응팀이 조사한 HPE Operations Manager 공급망 공격. 123일간 mslogon.dll·passms.dll로 DC 자격증명을 탈취한 6단계 침투 과정을 분석합니다.
댓글은 익명으로 작성되며, 삭제 비밀번호를 설정하면 본인만 삭제할 수 있습니다. 비밀번호를 설정하지 않은 댓글은 누구나 삭제할 수 있습니다.
2026년 5월 12일, Microsoft 인시던트 대응팀은 한 기업 침해 사고의 전말을 공개했다. 팀이 현장에 투입됐을 때는 이미 123일째였다. 도메인 컨트롤러 2대에는 악성 DLL이 조용히 탑재돼 있었고, 직원이 로그인할 때마다 패스워드가 자동으로 외부로 빠져나가고 있었다. 공격자는 단 하나의 제로데이도 쓰지 않았다. 기업이 매일 신뢰하는 IT 관리 소프트웨어가 침투의 통로였다.
피해 기업은 HPE Operations Manager(HPOM)를 외부 IT 서비스 업체에 위탁해 운영하고 있었다. HPOM은 서버·네트워크 장비를 중앙에서 모니터링하고 자동화 스크립트를 원격 실행하는 엔터프라이즈 관리 플랫폼이다. 이 플랫폼이 동작하려면 관리 대상 서버에 HPE Operations Agent(OA)가 설치돼야 한다. OA는 HPOM으로부터 스크립트 실행 명령을 받는 에이전트 역할을 하며, 서명이 포함된 합법적인 소프트웨어다.
공격자는 이 위탁 업체의 HPOM 환경을 먼저 장악했다. 어떻게 초기 거점을 확보했는지는 조사에서 밝혀지지 않았다. HPOM이 피해 기업 내부 서버의 OA에 스크립트를 실행할 수 있는 채널을 가지고 있는 이상, 위탁 업체를 장악한 것은 피해 기업에 대한 직접 침투 권한을 획득한 것과 다르지 않았다. 공격자는 피해 기업에 직접 접속할 필요 없이, 이미 신뢰를 부여받은 관리 채널을 통해 내부 서버에 스크립트를 실행할 수 있었다. MITRE ATT&CK이 T1199(신뢰 관계 악용)로 분류하는 바로 그 방식이다.
IT 관리 도구가 정찰 도구로 (1~8일째)
첫 주, 공격자는 HPE OA를 통해 VBScript를 실행했다. 스크립트는 네트워크를 탐색하고 Active Directory를 열거했으며, 외부 IP 주소를 확인했다. 보안 로그에는 평범한 관리 작업으로 기록됐다. 정찰을 마친 뒤 공격자는 인터넷에 노출된 웹 서버 2대 가운데 한 곳에 첫 번째 웹셸(Errors.aspx)을 심었다.
도메인 컨트롤러에 자격증명 포집기 이식 (9~14일째)
2주 차에 공격의 성격이 달라졌다. 공격자는 도메인 컨트롤러 DC01에 악성 네트워크 프로바이더 DLL(mslogon.dll)을 등록했다. Windows 인증 아키텍처에서 네트워크 프로바이더는 사용자 로그인과 패스워드 변경 이벤트를 가로채는 공식 인터페이스다. NPLogonNotify와 NPPasswordChangeNotify API를 악용하면 누군가 로그인할 때마다 평문 자격증명을 가로챌 수 있다. 포집된 데이터는 C:\Users\Public\Music\abc123c.d에 쌓였다. 이후 DC01에서 처리되는 모든 로그인은 공격자의 눈앞에 놓이게 됐다.
웹셸 다층화와 암호화 터널 (24~32일째)
보조 웹셸 ghost.inc가 추가됐다. 직접 배포하는 대신, 이미 설치된 Errors.aspx를 통해 정상 애플리케이션 파일 Signoff.aspx를 변조해 Windows 임시 디렉터리에서 ghost.inc를 로드하는 방식을 택했다. 설령 Errors.aspx가 발견돼도 ghost.inc는 살아남는 이중 구조다. 같은 시기, 공격자는 ngrok을 배포했다. ngrok은 443 포트 HTTPS 트래픽으로 위장한 암호화 터널을 생성하기 때문에 별도의 C2 서버 없이도 방화벽을 우회해 내부 시스템에 접근할 수 있다. 관리 채널처럼 보이는 트래픽 패턴을 활용해 온 공격자에게 ngrok은 그 연장선에 있는 선택이었다.
수평 이동, SQL 서버까지 (40~60일째)
도메인 컨트롤러에서 포집된 자격증명으로 RDP 세션을 개설했다. WMI 원격 실행 기능을 이용해 SQL 서버에도 진출했고, SQL 서버에도 ngrok을 별도로 배포했다. 이 시점에 공격자는 웹 서버 2대, 도메인 컨트롤러 2대, SQL 서버 1대, 다수의 워크스테이션에 동시에 발판을 마련했다.
패스워드 필터로 이중 포집 체계 구축 (54~55일째)
DC01과 DC02 양쪽에 악성 패스워드 필터 DLL(passms.dll)이 추가로 등록됐다. Windows LSA 알림 패키지 메커니즘을 악용한 방식으로, 패스워드가 변경될 때마다 DLL이 호출돼 자격증명을 가로챈다. 포집 데이터는 Base64와 커스텀 알고리즘으로 이중 인코딩된 뒤 C:\ProgramData\WindowsUpdateService\UpdateDir\Ipd에 기록됐다. 파일은 SMB를 통해 원격 공유 폴더로 전송됐고(파일명: icon02.jpeg), 제목 "Update Service"인 이메일을 통해 외부로도 빠져나갔다. 네트워크 프로바이더와 패스워드 필터, 두 채널이 동시에 가동되면서 패스워드 변경 시도조차 공격자에게 노출됐다.
탐지 후 재진입 시도 (104~106일째)
Microsoft Defender가 C2 네트워크 트래픽을 탐지하면서 초기 대응이 이루어졌다. 그러나 공격자는 남겨둔 백도어 채널을 통해 104~106일 사이에 재진입을 시도했다. Microsoft 인시던트 대응팀이 공식 투입된 것은 침입 123일째였다.
4개월에 걸쳐 공격자는 5개 서버 등급에 걸쳐 지속적인 접근 권한을 확보했다. 도메인 컨트롤러 2대에서 처리된 모든 로그인 자격증명이 외부로 유출됐고, 데이터는 SMB와 이메일 두 경로를 통해 반출됐다. Microsoft 보고서는 피해 기업이 속한 산업이나 유출된 데이터의 구체적 규모는 공개하지 않았다. 조사 결과 공격자가 악용한 HPE OA 자체에는 어떤 보안 취약점도 존재하지 않았다고 Microsoft는 밝혔다.
공격자는 4개월 내내 제로데이를 한 번도 쓰지 않았다. 사용된 도구 목록은 평범하다. HPE Operations Agent, ngrok, WMI, RDP, 그리고 Windows가 공식으로 지원하는 네트워크 프로바이더와 패스워드 필터 API. 방어자가 차단해야 할 알려진 악성코드 목록에서 이것들을 찾는 것은 의미가 없다.
공급망 신뢰 관계의 위험성이 여기 있다. 직접 공격이라면 경계 장비에서 이상 트래픽을 탐지할 기회가 있다. 그러나 이미 신뢰된 관리 채널이 공격 통로가 되면, 탐지 신호는 정상 운영 트래픽과 구분하기 어려워진다. 보안 제품이 이 침투를 포착한 것은 C2 네트워크 이상 감지였고, 그조차 123일이 소요됐다.
외부 위탁 관리 플랫폼을 운영하는 기업이라면, 이 사례는 위탁 업체의 보안 수준이 자체 인프라의 보안 수준과 동일하게 취급돼야 한다는 점을 보여준다. 신뢰는 공격자가 가장 먼저 노리는 빈틈이다. 123일이 걸렸다는 사실은 그 신뢰가 얼마나 오래, 얼마나 깊이 악용될 수 있는지를 보여준다.
AI 활용 안내 이 글은 AI(Claude)의 도움을 받아 작성되었습니다. 인용된 통계와 사례는 참고 자료에 명시된 출처에 근거하며, 설명을 위한 일부 표현은 각색되었습니다.
면책 조항 본 글은 보안 인식 제고를 위한 교육 목적으로 작성되었습니다. 언급된 공격 기법을 실제로 시도하는 행위는 「정보통신망법」, 「형법」 등에 따라 처벌받을 수 있으며, 본 블로그는 이에 대한 법적 책임을 지지 않습니다.