## GhostLock: SMB 파일 공유 인프라를 마비시키는 비암호화 랜섬웨어 우회 공격 기법 공개
보안 연구진이 윈도우 환경의 SMB 파일 공유 인프라를 암호화 없이 완전 마비시키는 새로운 공격 기법 'GhostLock'을 공개했다. 이 기법은 CreateFileW API의 dwShareMode를 0으로 설정해 파일을 독점 잠금 상태로 고정함으로써, 대상 시스템의 파일 가용성을 자체적으로 차단한다. 기존 랜섬웨어와 달리 쓰기, 암호화, 디스크 접근 단계가 존재하지 않아 보안 솔루션의 탐지 체계를 근본적으로 우회하는 것이 핵심이다.

GhostLock은 공격 수행에 표준 도분 사용자 권한만 요구하며,企业内部 도메인 환경에서 특별한 관리자 권한 없이도 실행 가능하다. 피해 시스템 복구를 위해서는 공격자의 SMB 세션을 직접 찾아 종료해야 하며, 이는 스토리지 관리자 수준의 권한과 기술적 역량만이 가능하다는 점에서 복구 난이도가 기존 인시던트 대비 급격히 상승한다. 보안专家指出, 이 공격은 윈도우의 정상 기능을 악용한 설계로 기존 CVE나 패치로 대응이 불가능하다.

현재 GhostLock은 오픈소스 연구 도구로 공개되어 기업 보안팀의 방어 태세 점검에 활용 가능한 상태다. 다만, 동일한 기법의 악용 가능성을 배제할 수 없으며, SMB 파일 공유에 의존하는 기업 환경 전반에 걸쳐 탐지 및 대응 체계 재검토가 시급하다는 지적이 나오고 있다.
---
- **Source**: Mastodon:mastodon.social:#ransomware
- **Sector**: The Lab
- **Tags**: GhostLock, SMB, 파일 잠금 공격, 랜섬웨어 우회, CreateFileW
- **Credibility**: unverified
- **Published**: 2026-05-12 04:48:25
- **ID**: 82087
- **URL**: https://whisperx.ai/en/intel/82087