[Special Report] 2015년 상반기 주요 키워드는 ‘귀환?’ ∙∙∙ 올드보이의 화려한 컴백

2015년 상반기, 주목해야 할 악성코드

​

​​

2015년 상반기 악성코드 관련 주요 특징은 기존 악성코드의 재조명이라고 할 수 있다. '하늘 아래 새로운 것은 없다(There is Nothing New)'는 말처럼 최근 이슈가 되고 있는 악성코드는 기존 악성코드에 새로운 기법을 적용한 모습이다. 그러나 악성코드의 경우 이미 알고 있는 것이라도 조그만 변형이라도 더해지면 전혀 새로운 공격이므로 방어가 쉽지 않다. 이러한 악성코드로는 랜섬웨어, 스팸메일을 이용한 어파트레(Upatre), SCR(Screensaver) 악성코드, 매크로 악성코드 등이 있다. 이 글에서는 2015년 상반기 주요 악성코드의 공격 사례와 예방 방법에 대해 살펴본다.  

​

공포의 대상이 된 랜섬웨어

2015년 상반기 국내에서 가장 큰 이슈가 된 악성코드를 꼽자면 단연 랜섬웨어(Ransomware)이다. 랜섬웨어는 2013년부터 해외에서 본격적으로 주목받기 시작했으나, 그 이전에 이미 등장한 악성코드이다. 해외와는 달리 그동안 국내에서는 큰 영향을 미치지 않았다. 그러나 지난해 PC 감염 사례가 보고되기 시작한 이후 최근에는 국내 일부 기업과 기관에서 피해 사례가 발생한 것으로 알려졌다. 특히, 지난 4월 국내 커뮤니티 사이트를 통해 ‘크립토락커(CryptoLocker)가 유포되면서 랜섬웨어의 위험성이 수면 위로 드러났다.

 

 

 

이 크립토락커는 사용자 시스템의 취약점을 이용한 전형적인 웹 기반의 DBD(Drive-By-Download) 방식을 통해 감염이 이루어졌다. 국내에서 많은 사용자들을 보유하고 있는 유명 커뮤니티 사이트에 접속하게 되면 취약한 사이트로 리다이렉션(Redirection)되면서 특정 취약점에 의해 랜섬웨어 악성코드가 다운로드 되고 실행된 것이다.

 

 

 

일반적인 랜섬웨어는 PC에 저장된 문서나 동영상 등의 파일을 암호화한 뒤 사용자에게 암호를 풀어주겠다는 조건으로 금전을 요구한다. 이번 한글로 표기된 크립토락커는 암호화된 파일들을 복원하기 위해 한화 약 438,900원의 비트코인을 요구했다. 피해자들이 비용 지불을 쉽게 할 수 있도록 결제 방법을 상세하게 설명하고 있으며 실제 복원됨을 증명하기 위해 암호화된 파일 중 1개의 파일을 무료로 복호화해주고 있다. 이를 통해 악성코드 제작자는 중요한 파일을 암호화하여 사용자의 금액 지불을 유도했다.

지금까지 랜섬웨어는 미국과 유럽 등지에서 많이 유포되고 있는 상황인데, 이번 크립토락커는 한글로 표기되어 우리나라도 더 이상 랜섬웨어의 안전지대가 아님을 증명하고 있다.

랜섬웨어가 공포의 대상이 된 이유는 변종이 계속 등장하고 있기 때문이다. 실제로 한글판 랜섬웨어 이후 과도한 트래픽을 일으켜 사이트를 마비시키는 디도스(DDoS, 분산서비스거부) 공격 기능을 갖춘 랜섬웨어가 등장하기도 했다. 또한 랜섬웨어에 감염되면, 금전을 지불하더라도 파일을 정상화할 수 없는 경우가 대부분이어서 두려움의 대상이 되고 있는 것이다. 이외에도 모바일을 겨냥한 랜섬웨어, 게이머들의 돈을 노리는 랜섬웨어가 발견되는 등 점점 수법이 더욱 정교해지고 있어 각별한 주의가 필요하다.

이러한 랜섬웨어에 감염되지 않으려면 사전 예방이 중요하다. 최근 보고된 랜섬웨어의 감염 경로 가운데 가장 많은 것이 스팸메일을 이용한 것이다. 따라서 출처가 불분명하거나 분명한 출처의 이메일이라도 스팸성으로 의심되면 메일이나 첨부파일의 실행을 자제하고 삭제해야 한다. 또한 자신이 사용하는 OS에 따라 업무 및 기밀 문서 등의 주요 파일을 백업하고, 백업한 파일은 PC 저장 장치 외에 외부저장 장치에 별도로 저장하는 것이 안전하다. 

중요한 문서라면 ‘읽기전용’으로 설정하는 것도 피해 예방에 도움이 된다. 대부분의 랜섬웨어는 파일을 수정하면서 암호화를 시도하기 때문에 중요 파일을 수정하거나 편집한 후에는 읽기전용으로 속성을 변경하면 일부 랜섬웨어에 의한 파일 수정(암호화)을 막을 수 있다. 즉, 중요도가 매우 높은 문서의 속성을 읽기전용으로 설정하여 보관하다가 수정이 필요하면 해당 속성을 해제한 후 수정하고, 수정이 끝나면 다시 속성을 읽기전용으로 바꾸어 보관하는 것이다.

또한 백신 소프트웨어 설치와 운영체제의 보안 패치 적용 등과 같이 기본적인 보안 수칙을 지키는 것은 필수이다.

 

 

스팸메일로 유포되는 Upatre 악성코드 기승

앞서 언급한 랜섬웨어에서 확인할 수 있듯이 현재 전 세계적으로 스팸메일은 악성코드의 가장 효과적인 유포 경로로 악용되고 있다.

스팸메일을 통한 악성코드 감염은 메일 본문 내의 링크를 클릭하도록 유도하여 악성 파일을 내려받게 하거나 문서파일 등으로 가장한 첨부 파일을 실행하도록 유도하여 시스템에 악성코드를 감염시키는 형태이다.

국내에서는 지난해 후반부터 올해 상반기까지, ‘어파트레(Upatre)’ 악성코드가 첨부된 스팸메일이 국내에서도 지속해서 대량 유포되고 있다. 어파트레 악성코드는 해외에서는 2013년 8월경부터 본격적으로 등장하여 지속적인 증가세를 보이고 있는 것으로 알려졌다. 

어파트레 악성코드는 변형에 따라 차이가 있지만 공통적으로 ▲스팸메일 내 첨부 파일(최초 파일) 실행 시 자기 복제본 생성 ▲C&C 접속 시도 및 추가 악성코드 다운로드 ▲정상 PDF 파일 실행으로 정상처럼 위장 ▲지속적인 C&C 통신 및 정보 탈취 등의 동작을 수행한다.
 

 

 

이 어파트레 악성코드를 포함한 스팸메일은 사용자에게 클릭을 유도하기 위해 doc, document, invoice, ticket, photo 등의 문구를 주로 사용한다.
최근 안랩에 접수된 어파트레 변형은 ‘invoice’라는 메일 제목으로 유포되었다. 메일의 첨부 파일에는 [그림 4]와 같이 PDF 아이콘으로 위장한 실행 파일 ‘invoice1212.exe’가 있다.
 

 

 

메일에 첨부된 악성 파일 ‘invoice1212.exe’를 실행하면, 파일을 생성하고 C&C 서버에 접속을 시도하여 추가 악성코드를 다운로드한다. 특히, 이 악성코드는 이러한 사실을 숨긴 채 [그림 5]와 같이 정상 PDF 파일을 실행하여 사용자에게 악성코드 감염 사실을 숨기려 한다. 그러나 이러한 악성코드는 대부분 금융정보 탈취 등의 인포스틸러(Infostealer) 기능을 가진다.
 

 

 

현재 어파트레 악성코드 변형은 꾸준하게 발견되고 있다. 이를 예방하기 위해서는 메일을 열람할 때 앞서 언급한 스팸메일에 자주 등장하는 문구가 있는지 주의 깊게 살펴보아야 한다. 또한 메일 솔루션에서 이러한 문구는 필터링을 설정해두는 것도 좋은 방법이며, 출처가 불분명한 메일은 열람하지 않는 것이 바람직하다.

 

SCR(화면보호기) 위장 악성코드 위협은 ‘진행 중’

 

대다수 PC 사용자에게 SCR 확장자는 생소하다. SCR(Screensaver)은 화면보호기의 확장자이다. 일반 사용자들이 생각하는 화면보호기는 일정 시간 동안 키보드나 마우스에서 입력이 없으면 PC 모니터에 여러 화면을 나타내는 기능을 하지만, SCR 확장자도 악성 파일로 사용할 수 있다는 점에서 주의가 필요하다.

[표 1]은 안랩이 모니터링한 악성 SCR 파일 중 일부를 표시한 것이다. 이 표에서 볼 수 있듯이 지난해부터 올해 상반기까지 SCR 악성코드가 지속적으로 발견되고 있다. 이 파일들은 안랩 샘플 중 일부만 나열한 것이며 그 종류는 더 다양하다.
 

 

 

[표 1]의 파일명과 실행 시 그림 화면을 봤을 때 추석 인사, 새해 인사, 연하장, 레이싱걸 사진부터 북한 인민회의 김정은 결석, 통계자료, 국민 안보의식 조사서 등과 같이 정치와 관련된 내용도 있다. 이 파일들의 특징은 두 가지다. 첫 번째는 그림 모양의 아이콘을 갖고 있고, 실행하면 내부에 있던 광고나 문서 캡처 등 그림 파일이 실행된다. 해당 파일은 C드라이브 특정 경로에 PE 파일을 생성하고 사용자 정보를 유출한다.
 

 

 

이런 파일이 국가 주요 기관이나 기업에 전달된다면 사용자의 중요한 정보가 유출될 수 있으며, 추가 명령을 받아 실행할 수 있다. 또 과거부터 현재까지 지속적으로 발견되고 있어 주의가 필요하다.

 

 

매크로 악성코드의 부활

매크로 악성코드는 1995년 등장해 오피스 사용자들을 대상으로 널리 퍼졌다가 2000년 초에 거의 사라졌다. 하지만 놀랍게도 탄생 20년이 된 2014년부터 조금씩 증가하면서 올해에는 매일 1~2개의 신종 매크로 악성코드가 발견되고 있다.

2015년 3월 언론을 통해서도 매크로 악성코드의 부활에 대해 기사화되기 시작했다.
 

 

 

실제로 2012년부터 2015년 2월 현재까지 안랩에서 고객으로부터 접수된 매크로 악성코드 수는 [표 2]와 같으며, 2015년 2월 이미 2014년 한해 동안 발견된 매크로 악성코드보다 많은 것을 확인할 수 있다.

 

 

 

공격자는 보통 이력서, 주문서 등을 가장한 메일을 보내 첨부된 문서를 열게 만든다. 아직 한글로 작성된 유형은 없고 대부분 영문 메일이지만 가끔 유럽 지역 언어로 된 메일과 문서도 존재한다. 또한 워드 문서 형태의 악성코드가 대부분이어서 국내에서는 한글과컴퓨터 한글 워드프로세스 사용자가 많아 개인 사용자는 상대적으로 피해가 적다. 하지만, 외국과 교류가 잦은 기업 등을 중심으로 피해가 발생하고 있다.

오피스에서 매크로 기능은 기본적으로 사용하지 않음으로 설정되어 있다. 그러나 요즘 다시 등장한 매크로 악성코드는 사용자가 매크로 기능을 활성화하도록 유도한다. 이른바 사회공학(Social Engineering) 기법이 이용되고 있는 것이다. 가장 널리 사용되는 방법은 문서 내용을 알아보지 못하게 하고 매크로를 사용하면 내용을 볼 수 있다고 유도하는 방법이다. 매크로 기능을 활성화하면 화면 변화 없이 악성코드만 실행되는 경우가 있다. 하지만, 다른 내용을 보여줘 사용자를 속이는 형태도 존재하며, 주로 엑셀 파일에서 볼 수 있다.

공격자는 매크로 악성코드를 이용해 다양한 다른 악성코드를 다운로드하거나 생성할 수 있다. 최종적으로 사용자 컴퓨터에 감염되는 악성코드는 ▲사용자 정보 유출 ▲금융 정보 탈취 ▲원격 제어 등의 기능을 수행한다.

최근 증가하고 있는 매크로 악성코드는 우리나라 사용자보다는 외국 사용자를 대상으로 제작되고 있다. 하지만 앞으로 국내 사용자를 대상으로 한글로 작성된 문서가 공격에 이용될 가능성도 있다. 따라서 매크로 메일의 첨부된 문서 파일을 열 때 조심해야 하고 무엇보다 오피스의 매크로 기능은 비활성화 상태를 유지하는 게 중요하다. @

​