문서 기반 표적형 공격의 배경과 사례

공격자들은 보안 솔루션과 경쟁하기보다는 타겟(사용자)을 노리는 것이 훨씬 더 쉽고 더 큰 효과를 볼 수 있다는 것을 깨달았습니다. 복잡한 악성코드를 연구하는 것보다 사람을 연구하는 것이 경제적이라는 것이죠. 최근 증가하고 있는 문서 기반의 표적형 악성코드가 바로 대표적인 사례입니다.

 

비즈니스 자산 문서, 공격에 이용되다

 

기업 조직에 있어 ‘문서(Document)’는 대표적인 비즈니스 자산입니다. 기술문서, 영업문서, 고객정보 등 다양한 정보가 문서 파일 형태로 저장되어 있으며, 매일 수없이 많은 문서 파일들이 기업 내/외부로 유입, 반출되고 있습니다. 최근 공격자들은 문서 파일에 대한 의존성이 높은 기업의 비즈니스 환경을 이용하여 문서 파일 기반의 공격을 지속적으로 확대해 나가고 있습니다. 이러한 문서 파일 기반의 공격을 Malicious Document라고 지칭합니다. Malicious Document는 오피스, 한글, PDF 등의 응용소프트웨어에서 제공하는 표준 기능(Macro, JavaScript, OLE Object, Embedded Document, 이하 ‘액티브 콘텐츠’)을 이용하여 악성코드를 배포하기 때문에 일반적인 악성코드보다 대응하기 어려워 현재 큰 보안위협으로 부상하고 있습니다.

실제로 최근 악성코드 동향은 이러한 사실들을 뒷받침합니다. MS-ISAC의 Top 10 악성코드 리서치에 따르면 2017년 4월부터 10월까지 가장 많은 비중을 차지하고 있는 악성코드는 문서 기반의 매크로 악성코드로 월 평균 60%의 비중을 차지하는 것으로 나타났습니다. 특히 Emotet, Kovter는 10월 기준 Top 10 악성코드 중 1, 2위를 차지하는 등 문서 기반 보안 위협에 대한 공격 선호도를 보여주고 있습니다. 보안 솔루션을 우회하기 위하여 새로운 기술 개발에 투자하는 것보다 다양한 문서 포맷에서 제공하는 매크로, OLE Object, Hyper Link 등의 액티브 콘텐츠를 이용하여 공격하는 것이 더 효율적이고 효과적이라는 것을 공격자들이 알고 있다는 것이죠.

 

Malicious Document
문서 기반의 표적형 공격 흐름도

 

Malicious Document 사례

 

대표적인 Malicious Document 유형은 악의적인 VBA 매크로 코드가 삽입된 오피스 문서를 통한 공격으로 워드, 엑셀, 파워포인트 등 오피스 문서의 매크로 기능을 이용하여 악성코드를 다운로드하고 이를 실행하는 형태라고 할 수 있습니다. 기본적으로 오피스 2013 이상의 버전에서는 사용자에게 매크로 코드가 포함된 문서임을 알리고 해당 코드의 사용 여부를 묻도록 되어 있기 때문에 어느정도 대응이 가능하지만, 공격자들 역시 ‘콘텐츠 사용’을 유도하기 위해 사회공학(Social Engineering) 기반의 고도화된 공격을 진행하고 있어 피해 역시 지속적으로 증가하고 있는 추세입니다. 또한, 여전히 많은 기업에서 오피스 2013 이전 버전을 이용하고 있기 때문에 매크로 기반의 Malicious Document 공격에 취약한 것이 현실입니다. 매크로 이외에도 오피스 기반의 Malicious Document 유형으로는 OLE Object, 오피스의 취약점을 노린 Exploit 등이 존재합니다. OLE Object 역시 오피스에서 제공하는 기능을 악용하여 삽입된 링크 및 실행파일을 통해 악성코드를 배포합니다.

이외에도 최근 발견된 오피스의 DDE 기능을 악용한 공격까지 공격자들은 악성여부에 대한 판단이 어려운 문서 파일을 통해 지속적으로 공격을 시도하고 있습니다. 글로벌 보안 벤더 시만텍은 2016년 MS 오피스를 이용한 Malicious Document 공격이 전세계적으로 월 평균 120만 건 수준으로 문서 기반 위협의 심각성을 강조한바 있습니다. 맥아피, 소포스와 같은 Anti-Virus 벤더들 역시 Malicious Document가 지속적으로 증가하고 있으며, 심각한 피해를 야기시키고 있다고 발표하기도 했습니다. Malicious Document의 또 하나의 특징은 비즈니스 프로세스에 최적화되어 있다는 것입니다. 가장 많이 이용되는 채널인 메일의 제목, 본문부터 첨부파일의 내용까지 수신자가 의심하기 어렵도록 일반적인 내용으로 구성되어 있습니다.

 

매크로
매크로 실행 시, 외부 URL에서 악성코드를 다운로드, 실행하도록 짜여 있는 코드

 

Malicious Document의 위험성

 

아래의 이미지는 공문으로 위장한 Malicious Document로 위의 이미지와 같은 VBA 매크로를 포함하고 있습니다. 파일명 역시 ‘OO_공문’ 으로 되어 있으며, 상단에 매크로가 포함되어 있다는 경고와 함께 매크로를 허용하는 ‘콘텐츠 사용’ 버튼이 안내되어 있는 것을 보실 수 있습니다. (워드 2013 기준) 해당 매크로 코드에는 수신자가 ‘콘텐츠 사용’ 을 클릭 하면 자동으로 동작하는 ‘AutoOpen()’ 함수가 포함되어 있으며, ‘http://xxx.xxx.xx.xxx./xx’로부터 다운로드한 ‘malware.exe’가 실행되도록 설계되어 있습니다. 간단한 매크로 코드로 만들어진 Malicious Document이지만, 위협은 간단하지 않습니다.

Malicious Document의 가장 큰 위험은 기존의 보안 환경을 우회하여 유입된다는 것입니다. 보안 환경의 가장 기초가 되는 Anti-Virus 역시 Malicious Document 대응에는 한계를 보이고 있는 상황입니다. 실제로 위의 Malicious Document를 Virus Total에서 테스트한 결과, 60개의 Anti-Virus Engine 중 11개의 Engine에서만 해당 문서가 위험하다고 경고하고 있습니다. 다른 49개의 Engine에서는 전혀 탐지하지 못 한 것이죠. 이처럼 문서 파일 자체로는 악성파일이 아니기 때문에 시그니처 기반의 보안환경에서는 대응에 한계가 있습니다.

이처럼 문서 기반의 악성코드가 증가함에 따라 CDR(Content Disarm & Reconstruction)이라고 불리는 Malicious Document 위협에 특화된 대응 기술이 주목 받고 있습니다. 문서 파일 내에 포함되어 있는 액티브 콘텐츠(Macro, JavaScript, , OLE Object, Embedded Document 등)를 분석하고 비활성화 및 제거한 후 안전한 문서 파일로 재조합하여 사용자에게 제공하기 때문에 Malicious Document에 효과적으로 대응할 수 있다는 것이 특징입니다. 2016년 미국의 IT 리서치 조직인 Gartner가 문서 파일 기반의 지능화된 공격(Advanced Threat)에 대한 방어 수단으로 CDR을 Sandbox와 함께 소개하는 등 전세계적으로 CDR 기술에 대한 관심이 높아지고 추세입니다.

 

문서 기반의 표적형 공격 데모 & CDR

목록