이란 MOIS 산하 Handala가 Microsoft Intune의 정상 기능을 무기화해 Stryker 직원 8만 대 기기를 3시간 만에 초기화한 사건을 분석합니다. 악성코드 없는 공격의 시대.
댓글은 익명으로 작성되며, 삭제 비밀번호를 설정하면 본인만 삭제할 수 있습니다. 비밀번호를 설정하지 않은 댓글은 누구나 삭제할 수 있습니다.
2026년 3월 11일 새벽 5시(UTC), 의료기기 기업 Stryker의 직원 노트북과 휴대폰이 동시에 꺼지기 시작했다. 3시간 뒤 깨어난 직원들의 화면에는 공장 초기화 완료 메시지만 남아 있었다. 악성코드는 없었다. 익스플로잇도 없었다. 공격자는 Stryker가 직원 기기를 관리하기 위해 사용하는 Microsoft Intune의 '초기화' 버튼을 눌렀을 뿐이다.
| 날짜 | 사건 |
|---|---|
| 2026년 2월 28일 | 미·이스라엘, 테헤란 초등학교 공습 — 이란 언론 168~175명 사망 보도 |
| 3월 11일 05:00 UTC | Intune 대량 초기화 명령 실행 시작 |
| 3월 11일 08:00 UTC | 3시간 만에 약 8만 대 기기 초기화 완료 |
| 3월 12일 | 아일랜드 Cork 사업장 직원 귀가 조치 |
| 3월 15일 | 전자 주문 시스템 부분 복구 |
| 3월 18일 | CISA, Intune 보안 강화 긴급 경보 발표 |
| 3월 말 | FBI, Handala 웹사이트 4개 압수 |
공격을 자처한 것은 Handala. 이란 정보보안부(MOIS) 산하 조직으로, 미국 법무부가 공식 확인했다. 테헤란 학교 공습에 대한 보복이라고 밝혔다. NBC News는 이 사건을 "미·이란 충돌 이후 미국 기업에 대한 첫 번째 대규모 이란 사이버공격"으로 평가했다.
이 공격에서 가장 충격적인 부분은 기술적 정교함이 아니라 단순함이다.
공격자는 AiTM(Adversary-in-the-Middle) 피싱으로 Stryker 관리자의 세션 토큰을 탈취한 것으로 추정된다. 정상 Microsoft Entra ID 로그인 페이지처럼 보이는 리버스 프록시를 배치하고, 관리자가 MFA까지 완료한 뒤 생성되는 세션 토큰을 가로챘다. MFA 이후에 발생하는 토큰 탈취이므로 MFA 자체는 무력화되지 않았지만, 그 결과물이 도난당한 것이다.
탈취한 토큰으로 Microsoft 365 테넌트에 접속한 뒤, 새로운 Global Administrator 계정을 생성했다. 이 시점에서 공격자는 Stryker의 전체 클라우드 환경을 장악했다.
Intune 관리 콘솔에서 등록된 모든 기기에 대해 "Wipe(초기화)" 명령을 실행했다.
3단계: 초기화 버튼
Intune의 Wipe 명령은 Windows의 RemoteWipe CSP를 호출한다. 암호화 키를 파괴하는 방식(Cryptographic Erasure)이라 물리 매체에 접근해도 데이터를 복구할 수 없다. 개인 BYOD 기기도 Intune에 등록되어 있었기 때문에, 직원들의 개인 사진, eSIM, 은행 인증 앱까지 함께 사라졌다.
핵심은 이 과정에서 Multi-Admin Approval(MAA)이 활성화되지 않았다는 것이다. 단일 관리자 계정으로 8만 대의 기기를 동시에 초기화할 수 있었다. 승인 절차 하나가 없었기 때문에, 버튼 한 번이 곧 재앙이 되었다.
Stryker는 Fortune 500 기업이다. 2025년 매출 251억 달러, 연간 1억 5천만 명의 환자에게 제품을 공급한다. Mako 로봇 수술 시스템, LIFEPAK 제세동기, Vocera 병원 통신 시스템 등을 생산한다.
공격 후 61~79개국에서 주문 처리, 제조, 배송이 중단되었다. 아일랜드 Cork 사업장(직원 약 5,500명)은 직원 전원 귀가 조치되었다.
Stryker는 환자에게 직접 맞춤 제작하는 임플란트를 공급하는데, 이 배송이 중단되면서 일부 수술이 연기되었다. 메릴랜드에서는 EMS 구급대원이 사용하는 LIFENET 심전도 전송 시스템이 일시적으로 중단되었고, 미국 법무부는 법원 진술서에서 "이 사이버공격이 일부 사례에서 응급 의료 서비스 제공을 방해했다"고 밝혔다.
SEC에 8-K(중대 사건 보고)를 제출했고, 시가총액 약 80억 달러가 증발했다. 보고서에는 "완전 복구 일정은 아직 알 수 없다"고 기재되었다.
그러나 이미 병원에 설치된 Mako 로봇, LIFEPAK 제세동기, Vocera 통신 시스템 등 연결된 의료기기 자체는 영향을 받지 않았다. 문제는 기기가 아니라 공급망이었다. 그리고 직원 개인의 삶이었다. BYOD로 Intune에 등록된 개인 휴대폰도 동일하게 초기화되어, 가족 사진, eSIM, 은행 인증 앱, 개인 메신저 기록이 영구 삭제되었다. 업무와 무관한 데이터까지 한 번의 명령으로 사라진 것이다.
Handala는 2023년 12월, 하마스 공격 직후 텔레그램과 X에 동시 등장했다. 팔레스타인 저항의 상징인 나지 알-알리의 만화 캐릭터 '한달라'에서 이름을 따왔다.
그러나 단순 핵티비스트가 아니다. 미국 법무부는 Handala를 이란 정보보안부(MOIS) 산하 조직이 운영하는 "사이버 심리전 작전"으로 공식 지정했다. 보안 업계에서는 Void Manticore(Storm-0842)로 추적한다.
| 시기 | 작전 |
|---|---|
| 2023년 12월 | 이스라엘 대상 HamsaUpdate 와이퍼 배포 |
| 2024년 4월 | 이스라엘에 50만 건 허위 문자 발송 |
| 2024년 6~10월 | 키부츠, 원자력 연구소, 전 총리 이메일 침해 |
| 2025년 1월 | 이스라엘 유치원 20곳 방송 시스템 해킹 |
| 2025년 2월 | Clalit 건강보험 환자 1만 명 데이터 유출 |
| 2026년 3월 11일 | Stryker 8만 대 Intune 초기화 |
| 2026년 3월 27일 | FBI 국장 Kash Patel 개인 이메일 해킹 |
FBI가 Handala 웹사이트를 압수하자, 수 시간 내에 대체 도메인을 개설했다. 그리고 보복으로 FBI 국장의 개인 이메일을 해킹해 300여 건의 이메일과 사진을 공개했다.
Stryker 사건은 전례 없는 공격이 아니다. IT 관리 도구의 무기화는 패턴이 되고 있다.
| 사건 | 내용 |
|---|---|
| SolarWinds (2020) | Orion 업데이트 악용, 18,000개 조직 침해 |
| Kaseya (2021) | VSA 원격관리 악용, 1,500개 기업 피해 |
| Mobile Guardian (2024) | MDM 원격초기화, 13,000대 학생 기기 삭제 |
| Stryker (2026) | Intune 원격초기화, 8만 대 공장 초기화 |
CrowdStrike의 2025 Global Threat Report에 따르면 위협 탐지의 62%가 악성코드 없는 LOTL(Living-off-the-Land) 공격이었다. 공격자가 정상 도구를 사용하면 EDR이 악성 행위로 판별하기 어렵다.
Stryker 사건이 보여주는 교훈은 명확하다. MDM은 모든 기기에 대한 원격 킬스위치다. 그 권한을 보호하는 것은 MFA가 아니라, MFA 이후의 세션 보안과 관리자 권한 분리다.
CISA가 Stryker 사건 직후 발표한 Intune 보안 강화 지침의 핵심:
AI 활용 안내 이 글은 AI(Claude)의 도움을 받아 작성되었습니다. 인용된 통계와 사례는 참고 자료에 명시된 출처에 근거하며, 설명을 위한 일부 표현은 각색되었습니다.
면책 조항 본 글은 보안 인식 제고를 위한 교육 목적으로 작성되었습니다. 언급된 공격 기법을 실제로 시도하는 행위는 「정보통신망법」, 「형법」 등에 따라 처벌받을 수 있으며, 본 블로그는 이에 대한 법적 책임을 지지 않습니다.