마이크로소프트, 악성코드 서명 서비스 'Fox Tempest' 美 법원에 압류 소송

마이크로소프트가 코드서명 시스템을 악용해 악성코드를 정상 소프트웨어처럼 위장해 주는 사이버범죄 서비스 'Fox Tempest'를 상대로 미국 뉴욕 남부지방법원에 압류·금지 소송을 제기했다. 회사는 소장을 공개하고 운영 인프라를 직접 단속했다고 밝혔다.

Fox Tempest는 2025년 5월부터 마이크로소프트의 Artifact Signing 등 코드서명 도구에 부정 접근해 악성코드에 정식 서명을 붙여 주는 'MSaaS(malware-signing-as-a-service)' 사업을 운영해 왔다. 사이버범죄자들은 이 서비스를 통해 악성코드를 배포하고 랜섬웨어 등 공격을 감행해 전 세계 수천 대의 기기를 감염시키고 네트워크를 침해했다.

마이크로소프트는 Fox Tempest의 웹사이트 signspace[.]cloud를 압류하고, 운영에 사용되던 가상머신 수백 대를 오프라인 처리했으며, 기반 코드 호스팅 사이트 접근을 차단했다. 부정 발급된 코드서명 인증서를 지속적으로 폐기하고 새 탐지·차단 보안 기능을 도입한 결과 사이버범죄자들 사이에서 서비스 접근 불만이 이미 제기되고 있다.

소장에는 공동 피고로 랜섬웨어 그룹 Vanilla Tempest가 함께 이름을 올렸다. Vanilla Tempest는 Fox Tempest 서비스로 Oyster, Lumma Stealer, Vidar 등 악성코드와 Rhysida 등 랜섬웨어를 학교·병원 등 핵심 기관에 배포해 왔다. Rhysida는 영국 도서관 내부 문서 탈취·유출, 시애틀-타코마 국제공항 운영 마비 등 대형 공격에 사용된 변종이다.

조사 결과 Fox Tempest는 INC, Qilin, Akira 등 다른 랜섬웨어 계열사·패밀리와도 연결돼 있었다. 마이크로소프트는 사이버범죄가 한 그룹이 처음부터 끝까지 공격을 수행하던 모델에서, 서비스가 서로 교환·결합되는 모듈형 생태계로 진화하고 있음을 보여 주는 사례라고 평가했다.

Fox Tempest는 고가 서비스에 속한다. 마이크로소프트가 올해 초 단속한 저가 사이버범죄 인프라 제공자 RedVDS가 월 24달러부터 시작한 반면, Fox Tempest 고객들은 수천 달러를 지불했고 운영자들은 수백만 달러대 수익을 거둔 것으로 회사는 설명했다.

운영자들은 위조 신원과 정식 기관 사칭으로 마이크로소프트 계정을 수백 개 부정 생성해 실제 코드서명 자격증명을 대량 확보했다. 고객은 온라인 포털에 악성 파일을 업로드해 Fox Tempest가 통제하는 인증서로 서명받은 뒤, 검색 조작과 악성 광고로 배포했고 AI로 캠페인의 노출 범위를 넓혔다.

마이크로소프트가 부정 계정을 비활성화하고 인증서를 폐기하자 Fox Tempest 운영자들은 2026년 2월부터 제3자 호스팅 가상머신 네트워크로 운영을 이전해 규모를 유지하려 했다. 회사는 이번 다층 단속 이후에도 다른 코드서명 서비스로 운영과 고객을 옮기려는 추가 적응 시도를 확인했다고 덧붙였다.

이번 작전은 사이버보안 기업 Resecurity, 유로폴 유럽사이버범죄센터(EC3), 미 연방수사국(FBI)과 협력해 진행됐다. 마이크로소프트는 코드서명 생태계 전반에서 정보를 공유하고 다른 코드서명 서비스 사업자와 협력해 악용을 어렵게 만들겠다고 밝혔다.