IT

BYOVD 360 WFP 드라이버 이슈 분석: EDR/XDR 네트워크 차단 가능성과 실무 대응 체크리스트

작성자:

TL;DR

BYOVD 360 WFP 드라이버 이슈는 360 보안 제품의 드라이버 360netmon_x64_wfp.sys 인터페이스가 관리자 권한 프로세스에 의해 오용될 수 있다는 공개 PoC를 다룬다. 작성시각(2026-02-19 14:00 KST) 기준으로 확인 가능한 사실은, 특정 프로세스의 TCP/UDP 통신을 WFP 계층에서 차단할 수 있다는 점이다. 이 글은 공개 자료에 근거한 사실만 정리하며, 방어와 대응 관점만 다룬다.

  • 핵심: PoC는 \\.\360TdiFilter, \\.\360TdiSpeed 장치와 IOCTL(0x220804, 0x220444) 오용 가능성을 제시한다.
  • 조건: 원문 설명상 전제는 로컬 관리자 권한 프로세스다. 원격 무인증 공격으로 단정할 근거는 공개 자료에 없다.
  • 즉시 조치: 360 설치 자산 식별, 장치 접근/IOCTL 행위 탐지, 로컬 관리자 권한 최소화와 허용 애플리케이션 통제부터 시작해야 한다.

배경: 이번 공개에서 확인된 사실과 미확인 항목

레딧 게시물은 링크 공유 형태이며 핵심 기술 내용은 GitHub 저장소 README에 담겨 있다. 따라서 아래 사실관계는 원문 저장소README 본문을 기준으로 정리했다.

확인된 사실(원문 근거)

  • PoC 대상은 360 Security WFP 드라이버 360netmon_x64_wfp.sys로 명시돼 있다.
  • 사용자 모드에서 접근 가능한 장치 객체로 \\.\360TdiFilter, \\.\360TdiSpeed가 제시된다.
  • README는 관리자 권한 프로세스가 DeviceIoControl로 해당 장치에 요청할 수 있다고 설명한다.
  • IrpMjDeviceControl 경로에서 호출자 신원/서명 검증이 없다고 주장한다.
  • IOCTL 코드 0x220804, 0x220444가 언급되며, 특정 값 설정 시 WFP에서 FWP_ACTION_BLOCK이 반환돼 프로세스 통신이 차단될 수 있다고 적혀 있다.
  • 시연 결과로 표적 프로세스의 TCP/UDP 연결 차단이 기술돼 있으며, 코드 인젝션/후킹 없이 수행된다고 설명한다.

미확인 또는 추가 검증 필요

  • 영향받는 정확한 제품 버전 범위는 공개 자료에 명시되지 않았다.
  • 공급사 공식 보안 공지, 패치 제공 여부, 수정 완료 시점은 출처 내에서 확인되지 않는다.
  • 실제 야생(wild) 악용 사례, 캠페인 연계, 대규모 침해 통계는 출처에 없다.
  • CVE 부여 여부는 출처에 표기돼 있지 않다.

BYOVD 360 WFP 드라이버 이슈가 왜 중요한가

이 사안의 본질은 악성 드라이버 로딩 자체보다, 신뢰된 보안 드라이버의 인터페이스가 권한 있는 프로세스에 의해 남용될 수 있다는 점이다. 즉, 보안 제품이 제공한 기능 경계가 우회 지점으로 바뀌면 탐지와 대응이 모두 어려워진다. 특히 네트워크 기반 텔레메트리에 의존하는 EDR/XDR 운영 환경에서는 영향이 더 커질 수 있다.

  • 방어 우회 성격: 정상 드라이버 인터페이스 호출이므로 단순 시그니처 기반 탐지로는 놓칠 수 있다.
  • 운영 가시성 저하: 표적 프로세스가 보안 에이전트인 경우, 클라우드 연동/원격 텔레메트리 수집에 장애가 생길 가능성이 있다.
  • 침해 연쇄와 결합: 로컬 관리자 권한 탈취 이후 방어 무력화 단계로 결합될 수 있어 IR 난이도를 높인다.
  • 오탐/미탐 리스크: 네트워크 장애처럼 보여 초기 분류가 지연되면 대응 골든타임을 잃기 쉽다.

영향 범위와 리스크 평가

영향받는 시스템(확인 가능한 범위)

  • Windows 환경 중 360 보안 제품이 설치되어 있고, 360netmon_x64_wfp.sys가 로드된 단말.
  • 해당 드라이버/장치 객체가 존재하지 않는 자산은 이 PoC 시나리오의 직접 대상이 아니다.
  • 버전 한정 정보가 없으므로, 운영팀은 자산별 실제 드라이버 버전 수집을 선행해야 한다.

공격 성립 조건(개념 수준)

  • 로컬에서 관리자 권한(또는 동등 권한)의 프로세스 실행이 선행 조건으로 제시된다.
  • 장치 객체 접근 및 IOCTL 호출이 가능해야 하며, 이는 엔드포인트 권한 통제 품질과 직결된다.
  • 원문만으로는 원격 단독 침투 벡터를 입증할 수 없으므로, 별도 취약점과의 체인 가능성은 추정으로 남겨둬야 한다.

SOC/IR 운영 리스크

  • 보안 에이전트/업무 핵심 프로세스의 네트워크만 선택적으로 끊길 경우, 호스트 전체 장애보다 탐지가 늦어질 수 있다.
  • 격리/수집 정책이 네트워크 의존적인 조직은 사건 중 원격 가시성 상실 위험이 커진다.
  • 권한 관리가 느슨한 환경에서는 유사 BYOVD 계열 이슈가 반복될 가능성이 높다.

탐지 포인트(로그/IOC)와 헌팅 가이드

아래 항목은 공개 자료의 행위 특성을 기반으로 한 방어용 관측 포인트다. 단일 지표만으로 침해를 확정하지 말고, 시간 상관관계와 권한 이벤트를 함께 보아야 한다. 특히 정상 360 프로세스가 아닌 주체가 장치/IOCTL을 호출하는지 여부가 핵심 분기점이다.

우선 모니터링할 행위 지표

  • 비정상 프로세스가 \\.\360TdiFilter 또는 \\.\360TdiSpeed 장치 핸들을 여는 행위.
  • 동일 프로세스에서 DeviceIoControl 호출이 연속 발생하고, 제어 코드가 0x220804/0x220444와 일치하는 패턴.
  • 특정 프로세스만 외부 통신 실패가 급증하는데, 동일 호스트의 다른 프로세스 통신은 정상인 비대칭 장애.
  • 의심 시점 직전/직후 관리자 권한 상승, 신규 실행 파일 투입, 비표준 부모-자식 프로세스 체인.
  • WFP 정책/필터 변경 이벤트가 비정상 프로세스 실행 타임라인과 결합되는 정황.

IOC/행위 지표 후보(오탐 가능성 포함)

  • 드라이버 파일명: 360netmon_x64_wfp.sys
  • 장치 객체명: \\.\360TdiFilter, \\.\360TdiSpeed
  • 관심 IOCTL: 0x220804, 0x220444
  • 관심 API 조합: 장치 오픈(CreateFile*) + 제어 호출(DeviceIoControl)

중요하게, 위 값들은 공개 PoC 문맥의 탐지 단서이지 단독 확정 IOC는 아니다. 정상 관리 도구/보안 소프트웨어 동작과 구분하기 위해 서명, 경로, 부모 프로세스, 실행 계정, 배포 이력까지 함께 검증해야 한다.

대응 체크리스트(SOC/IR/보안운영팀)

P0 (24시간 이내): 노출 파악과 즉시 가시성 확보

  • 자산 인벤토리에서 360 설치 단말과 드라이버 로드 상태를 분리 식별한다.
  • 최근 30일 텔레메트리에서 장치 객체 접근/IOCTL 호출 히스토리를 역추적한다.
  • 의심 호스트 발견 시 네트워크 격리, 메모리/프로세스 증적 보전, 관련 로그 보존을 우선 수행한다.
  • EDR/XDR 콘솔에서 해당 단말의 마지막 정상 하트비트 시점과 통신 공백 구간을 대조한다.

P1 (72시간 이내): 재발 방지형 통제 적용

  • 상시 로컬 관리자 계정을 축소하고, 필요 시점 승격(JIT/JEA)으로 전환한다.
  • WDAC/AppLocker 등 애플리케이션 통제로 미승인 관리자 도구 실행을 제한한다.
  • 보안 에이전트 자체보호(tamper protection)와 네트워크 장애 알림 임계치를 재점검한다.
  • WFP 관련 변경 감시 규칙을 표준 탐지 콘텐츠로 편입하고, 고위험 알림으로 승격한다.

P2 (1~2주): 정책/플레이북 고도화

  • 공급사 보안 공지와 패치 제공 여부를 확인하고, 확인된 버전 매트릭스를 내부 KB에 반영한다.
  • 유사 시나리오(권한 탈취 후 보안 통신 차단)를 IR 플레이북에 명문화한다.
  • 랩 환경에서 탐지 룰 재현 테스트를 수행해 오탐률/탐지 지연을 수치화한다.
  • 운영지표로 평균 탐지 시간(MTTD), 평균 대응 시간(MTTR), 통신 공백 탐지율을 추적한다.

FAQ

Q1. CVE가 이미 부여됐나요?

제공된 출처(레딧 게시물, GitHub README)에는 CVE 식별자가 명시돼 있지 않다. 따라서 작성시각 기준으로는 CVE 확정 정보를 확인할 수 없다.

Q2. 원격에서 바로 악용 가능한 이슈인가요?

공개 README 설명은 관리자 권한 프로세스 전제를 반복한다. 즉, 현재 출처만으로는 원격 무인증 단독 악용으로 단정할 수 없다.

Q3. 어떤 버전이 영향받는지 알 수 있나요?

출처에는 영향 버전 범위가 구체적으로 없다. 운영팀은 실제 설치 버전과 드라이버 해시를 수집해 공급사 공지와 교차 확인해야 한다.

Q4. EDR/XDR이 완전히 무력화된다고 봐야 하나요?

공개 내용은 특정 프로세스 네트워크 차단 가능성을 시연한 것이다. 보안 제품 전체 무력화 여부는 제품 아키텍처, 자체보호 기능, 로컬/오프라인 큐잉 설계에 따라 달라 별도 검증이 필요하다.

Q5. 지금 한 가지만 먼저 하라면 무엇인가요?

비정상 프로세스의 \\.\360TdiFilter/\\.\360TdiSpeed 접근과 DeviceIoControl(0x220804, 0x220444) 호출을 즉시 탐지 대상으로 등록하는 것이 가장 빠른 출발점이다.

참고 링크

작성시각: 2026-02-19 14:00 KST

댓글 남기기

이 사이트는 Akismet을 사용하여 스팸을 줄입니다. 댓글 데이터가 어떻게 처리되는지 알아보세요.