마이크로소프트(Microsoft)가 정상 소프트웨어로 악성코드를 위장하는 사이버범죄 서비스 'Fox Tempest'를 법적으로 차단했다. 이는 신뢰 기호 자체를 조작하는 위협에 대한 대형 기술 기업의 첫 공식 대응으로, 사이버범죄 생태계의 모듈화·서비스화 추세를 보여준다.

뉴욕 남부 연방지방법원의 법적 조치

마이크로소프트는 19일(현지시각) 미국 뉴욕 남부 연방지방법원에 제소한 사건을 공개했다. 대상은 Fox Tempest라 불리는 사이버범죄 서비스로, 2025년 5월 이후 세계 수천 대의 컴퓨터를 감염시켜왔다. 이 서비스의 핵심은 '악성코드 서명 서비스(Malware-Signing-as-a-Service, MSaaS)'다.

정상 소프트웨어 확인용 마이크로소프트의 '아티팩트 서명(Artifact Signing)' 도구를 부정 접근해 악성코드에 정당한 서명을 덧씌운 뒤, 이를 부정 판매하는 방식이다. 마이크로소프트는 Fox Tempest의 웹사이트 'signspace.cloud'를 장악했고, 운영 중인 가상 머신(VM) 수백 대를 오프라인 처리했으며, 기반 코드 호스팅 사이트 접근을 차단했다.

수천 달러대 고가 서비스, 월별 계층 가격

Fox Tempest의 비즈니스 모델은 명확했다. 가짜 신원으로 마이크로소프트 계정을 대량 개설한 뒤, 고객들이 업로드한 악성파일을 서명해주는 대가로 수천 달러를 받았다. 가격이 높은 이유는 기능 차별화에 있었다. 낮은 비용 서비스(월 24달러 수준)와 달리, Fox Tempest는 공격 성공률을 높이고 탐지 회피성을 극대화하는 기능을 제공했기 때문이다.

서명된 악성코드는 검색 조작, 악성 광고를 통해 배포됐다. 사용자들은 정상 소프트웨어로 신뢰했다. 마이크로소프트에 따르면 인공지능(AI)이 이 캠페인들을 자동 생성·정교화하는 데 활용됐다. 안티바이러스와 보안 게이트웨이를 통과한 악성코드가 정상 소프트웨어처럼 시스템 내에서 활동했다.

Vanilla Tempest·Rhysida 등 주요 랜섬웨어 그룹 연계

마이크로소프트는 lawsuit에서 Fox Tempest와 함께 'Vanilla Tempest'를 공모자로 명시했다. Vanilla Tempest는 Fox Tempest의 주 고객이자 주요 랜섬웨어 그룹으로, Oyster, Lumma Stealer, Vidar 같은 악성코드와 Rhysida, INC 등 랜섬웨어를 배포해왔다. Rhysida는 영국 대영도서관(British Library)의 기밀 문서 유출, 시애틀-태코마 국제공항(Seattle-Tacoma International Airport) 운영 중단을 일으킨 랜섬웨어로, 파일 암호화와 데이터 탈취를 병행하는 이중 갈취 공격을 수행한다.

Vanilla Tempest는 전 세계 교육기관, 병원, 주요 인프라 기관들을 표적으로 삼아왔다. 마이크로소프트는 조사 결과 Fox Tempest가 Qilin, Akira 등 다양한 랜섬웨어 계열과도 제휴했다고 밝혔다.

사이버범죄 생태계의 구조적 변화

더 광범위한 맥락에서 Fox Tempest는 사이버범죄 산업의 변화 방향을 보여준다. 과거에는 단일 집단이 침투에서 감염까지 전체 공격을 수행했다면, 이제는 모듈화된 생태계로 재편되고 있다. 각 조직이 특화된 '서비스'를 판매하고, 다른 범죄 집단이 이를 구매해 조합한다.

비용 대비 효과를 따진다면 저가(월 24달러)부터 고가(월 수천 달러)까지 계층화돼 있다. Fox Tempest 같은 고급 서비스는 '마찰을 제거하거나 공격 실패를 우회하는' 기능으로 가격이 책정된다. 이것이 탐지 회피와 신뢰도를 동시에 확보하는 핵심이다.

코드 서명 인증서 악용은 과거 10년 이상 거래돼왔으며, 이란 관련 국가 해커들이 유럽 주요 인프라를 겨냥하는 데 사용된 기록도 있다. 다만 Fox Tempest가 보여준 차이는 '마케팅 패키징'과 '규모의 경제'다. 인증서 1개씩 구매하던 시대에서 'SaaS 모델'로 전환되면서, 대량의 랜섬웨어 캠페인이 이를 활용할 수 있게 된 것이다.

AI와의 결합, 공격 규모 확대 용이

마이크로소프트가 강조한 또 다른 포인트는 AI의 역할이다. Fox Tempest는 AI 기반 전술과 결합되면서 공격 규모 확대가 용이해졌다고 지적했다. 이는 단순한 기술적 개선이 아니라, 자동화·정교화·확장성을 동시에 확보한다는 뜻이다.

마이크로소프트의 대응도 이중층이다. 법적 조치(lawsuit)와 기술적 차단(인프라 장악, VM 오프라인, 코드 차단)을 동시에 추진했으며, 내부적으로 부정 취득 인증서 해지, 탐지 기술 강화, 새로운 보안 기능 배포를 병행했다. 이미 영향이 나타나고 있다. 마이크로소프트에 따르면 사이버범죄자들이 현재 서비스 접근에 어려움을 겪고 있다.

한국 기업·기관도 표적 위험

Fox Tempest 차단은 한국 기업과 기관에도 시사점을 남긴다. Vanilla Tempest와 Rhysida는 국경을 가리지 않으며, 특히 교육기관과 병원 같은 민간 인프라를 주 표적으로 삼는다. 한국 내 의료기관, 교육 기관, 공공 서비스 기업들이 유사한 MSaaS 기반 공격에 노출될 위험이 크다는 뜻이다.

이번 사건은 신뢰 기호 자체의 취약성을 드러낸다. "검증됨", "안전함", "설치 확인" 같은 라벨이 사용자의 의사결정을 좌우하지만, 이것이 조작될 수 있다는 점을 보여준다. 마이크로소프트는 이를 "정상 손님처럼 위장하고 정문으로 들어오는" 공격이라고 표현했는데, 기술 방어만으로는 불충분하며 구조적 대응이 필요하다는 메시지다.