사고/사건
Qilin·Warlock 랜섬웨어, 취약 드라이버 악용해 300+ EDR 무력화 기법 공개 — 운송·자동차 산업 방어 체계 재점검 요구
보도일: 2026년-04-10|수집일: 2026년 4월 11일
요약
Qilin·Warlock 등 상위권 랜섬웨어 그룹이 Bring-Your-Own-Vulnerable-Driver(BYOVD) 기법으로 300종 이상의 EDR·AV 제품을 커널 수준에서 중단시키는 패턴이 정식 분석되었다. 동 기사는 동일 보고 주간에 Qilin이 Hofland 등 운송·물류 업체를 추가 등재한 사실과 직결되며, 자동차 OEM·Tier-1 SOC의 기술 대응 한계를 재조명한다.
본문
The Hacker News의 이번 분석은 Qilin·Warlock 그룹이 정식 서명 인증서를 보유한 취약 드라이버를 시스템에 로드(Bring-Your-Own-Vulnerable-Driver)한 뒤 커널 권한을 탈취해 방어 제품을 차단하는 공격 체인을 기술 수준에서 공개했다. 공격자는 탐지되지 않은 권한 상승을 통해 EDR 에이전트·AV 서비스·로그 수집 데몬을 무력화한 뒤 랜섬웨어 페이로드를 배포한다. 본 기법은 Microsoft의 취약 드라이버 차단 리스트(Hardened Driver Block List), VBS(가상화 기반 보안), WDAC(Windows Defender Application Control) 등의 고급 방어 옵션을 적용하지 않은 제조·물류·자동차 기업 환경에서 특히 효과적이다. 기사는 영향받는 300+ 제품 목록과 함께 드라이버 악용 지표(IOC)를 공개하며, 조직의 긴급 대응 절차를 권고했다.
시사점
EDR(Endpoint Detection and Response) 무력화 기법이 공개됨에 따라, OEM·Tier-1은 엔드포인트 보안 전략을 재검토해야 한다. 단순 EDR 배포에 의존하지 않고, 커널 드라이버 서명 검증(Hardened Driver Block List, WDAC) 강화, 위협 인텔리전스 공유(KISA C-TAS, Auto-ISAC, ENX) 참여 확대, 다층 방어(Defense-in-Depth) 전략 도입이 시급하다. 공격 가능성 평가(Attack Feasibility)에 BYOVD 경로를 포함하는 위협 모델 개선도 필요하다.