매크로 포함 문서, 문서를 열면 설치되는 악성코드
보안정책 수정에도 계속되는 매크로 포함 문서 공격
메일 주소와 파일 확장자 확인하고, 2차 인증 도입도 필요
알쓸보안사전은 보안뉴스 기자들이 ‘알아두면 쓸모있는’ 보안 용어들을 보다 쉽게 정리해 독자의 이해를 돕고 보안 지식을 넓혀줄 수 있는 코너입니다.[편집자주]
[보안뉴스 박은주 기자] 해커에게 요구되는 능력 중 하나는 ‘숨기기’다. 파일에 악성코드가 있다는 걸 잘 숨겨야 백신 프로그램에 걸리지 않고 프로그램 설치까지 이어질 수 있다. 또 다른 하나는 ‘포장’이다. 지인 혹은 거래처로 포장해야 의심 없이 파일을 열어보게 할 수 있다. 그간 악성코드를 숨기고 지인 사칭 공격을 진행하는데 있어 ‘매크로 문서’가 널리 사용돼 왔다.
[이미지=gettyimagebank]
△이주의 보안 용어
매크로란 반복되는 작업을 단순화 및 자동화하는 기능이다. 명령어나 동작을 설정해 일일이 작업하는 시간과 노력을 절약할 수 있다. 한편, ‘매크로 포함 문서(Document With Macro)’는 사이버 공격자가 한글 파일(HWP)이나 워드, 엑셀 같은 문서 파일에 악의적인 행위를 실행하는 매크로 프로그램을 포함한다. 문서를 열었을 때 악성코드가 설치되고 공격을 수행하는 기법을 말한다.
백신 등 보안 프로그램에서는 악성코드를 탐지하기 위해 실행파일인 EXE, BAT 등을 먼저 검사한다. 상대적으로 탐지를 우회할 확률이 높은 문서파일을 통해 악성코드를 숨겨 퍼트리는 것이다.
△이런 일이 있었다
MS 오피스의 매크로 기능은 해커들이 애용하는 공격 방법이었다. 그중 북한의 해킹그룹 APT37은 매크로 문서 파일을 통한 해킹 공격을 주로 사용했다. 이에 MS는 2022년 매크로가 자동 실행되지 않도록 보안정책을 수정했다. 워드, 엑셀, 파워포인트 등의 프로그램은 문서를 열면 자체적인 검사를 통해 보안 경고를 띄우게 설정됐다. 정상과 악성 매크로 상관없이 문서 파일을 처음 실행한다면 경고 창이 노출된다.
그러나 문서파일을 통한 해킹 공격은 지속됐다. 지난 4월 지니언스 시큐리티센터의 조사 결과 APT37이 한글 파일과 MS워드 파일 등을 이용해 공격을 이어가고 있었다. 악성 매크로가 담긴 워드 파일을 실행하면 문서 내용은 보이지 않고 보안 경고 메시지와 함께 ‘콘텐츠 사용’ 버튼이 노출된다. 해당 버튼을 클릭하면 악성코드가 설치되는 방식이다. 해킹 성공률을 높이기 위해 사전정보를 모아 지인으로 위장했으며, 평소 관심 있어 하는 주제로 메일 내용을 구성하는 치밀함을 보였다. 더불어 바로가기(LNK) 파일을 악용한 공격도 이어졌다.
△피해는 이렇게 막을 수 있다
이처럼 문서 매크로 공격이 이어지다 보니 보안 프로그램에서 문서파일을 검사하도록 했다. 또한, 메시지 창에 드러나는 서툰 한국어 표현이나 표기 실수 등을 통해 해킹 여부를 파악할 수 있다. 안랩 ASEC 분석팀에 따르면, 한글 문서 파일로 위장한 악성코드 파일의 안내창에 우리의 ‘오류’, ‘되었습니다’의 표현이 북한말 ‘오유’, ‘되였습니다’ 등으로 표기된 것을 확인할 수 있었다. 해당 공격은 북한의 김수키(Kimsuky)의 소행으로 추정되고 있다.
매크로 파일은 외관으로 구분이 어렵고, 문서 내 매크로에 암호가 걸려있는 경우 백신 프로그램에서 탐지하지 못하는 상황이 발생한다. 파일을 받았을 경우 메일 주소와 파일 확장자를 꼼꼼히 확인해야 하고, 무엇보다 2차 인증을 도입하는 것이 가장 안전한 방법이다.
[도움말=보안 119]
[박은주 기자(boan5@boannews.com)]
보안정책 수정에도 계속되는 매크로 포함 문서 공격
메일 주소와 파일 확장자 확인하고, 2차 인증 도입도 필요
알쓸보안사전은 보안뉴스 기자들이 ‘알아두면 쓸모있는’ 보안 용어들을 보다 쉽게 정리해 독자의 이해를 돕고 보안 지식을 넓혀줄 수 있는 코너입니다.[편집자주]
[보안뉴스 박은주 기자] 해커에게 요구되는 능력 중 하나는 ‘숨기기’다. 파일에 악성코드가 있다는 걸 잘 숨겨야 백신 프로그램에 걸리지 않고 프로그램 설치까지 이어질 수 있다. 또 다른 하나는 ‘포장’이다. 지인 혹은 거래처로 포장해야 의심 없이 파일을 열어보게 할 수 있다. 그간 악성코드를 숨기고 지인 사칭 공격을 진행하는데 있어 ‘매크로 문서’가 널리 사용돼 왔다.
[이미지=gettyimagebank]
△이주의 보안 용어
매크로란 반복되는 작업을 단순화 및 자동화하는 기능이다. 명령어나 동작을 설정해 일일이 작업하는 시간과 노력을 절약할 수 있다. 한편, ‘매크로 포함 문서(Document With Macro)’는 사이버 공격자가 한글 파일(HWP)이나 워드, 엑셀 같은 문서 파일에 악의적인 행위를 실행하는 매크로 프로그램을 포함한다. 문서를 열었을 때 악성코드가 설치되고 공격을 수행하는 기법을 말한다.
백신 등 보안 프로그램에서는 악성코드를 탐지하기 위해 실행파일인 EXE, BAT 등을 먼저 검사한다. 상대적으로 탐지를 우회할 확률이 높은 문서파일을 통해 악성코드를 숨겨 퍼트리는 것이다.
△이런 일이 있었다
MS 오피스의 매크로 기능은 해커들이 애용하는 공격 방법이었다. 그중 북한의 해킹그룹 APT37은 매크로 문서 파일을 통한 해킹 공격을 주로 사용했다. 이에 MS는 2022년 매크로가 자동 실행되지 않도록 보안정책을 수정했다. 워드, 엑셀, 파워포인트 등의 프로그램은 문서를 열면 자체적인 검사를 통해 보안 경고를 띄우게 설정됐다. 정상과 악성 매크로 상관없이 문서 파일을 처음 실행한다면 경고 창이 노출된다.
그러나 문서파일을 통한 해킹 공격은 지속됐다. 지난 4월 지니언스 시큐리티센터의 조사 결과 APT37이 한글 파일과 MS워드 파일 등을 이용해 공격을 이어가고 있었다. 악성 매크로가 담긴 워드 파일을 실행하면 문서 내용은 보이지 않고 보안 경고 메시지와 함께 ‘콘텐츠 사용’ 버튼이 노출된다. 해당 버튼을 클릭하면 악성코드가 설치되는 방식이다. 해킹 성공률을 높이기 위해 사전정보를 모아 지인으로 위장했으며, 평소 관심 있어 하는 주제로 메일 내용을 구성하는 치밀함을 보였다. 더불어 바로가기(LNK) 파일을 악용한 공격도 이어졌다.
△피해는 이렇게 막을 수 있다
이처럼 문서 매크로 공격이 이어지다 보니 보안 프로그램에서 문서파일을 검사하도록 했다. 또한, 메시지 창에 드러나는 서툰 한국어 표현이나 표기 실수 등을 통해 해킹 여부를 파악할 수 있다. 안랩 ASEC 분석팀에 따르면, 한글 문서 파일로 위장한 악성코드 파일의 안내창에 우리의 ‘오류’, ‘되었습니다’의 표현이 북한말 ‘오유’, ‘되였습니다’ 등으로 표기된 것을 확인할 수 있었다. 해당 공격은 북한의 김수키(Kimsuky)의 소행으로 추정되고 있다.
매크로 파일은 외관으로 구분이 어렵고, 문서 내 매크로에 암호가 걸려있는 경우 백신 프로그램에서 탐지하지 못하는 상황이 발생한다. 파일을 받았을 경우 메일 주소와 파일 확장자를 꼼꼼히 확인해야 하고, 무엇보다 2차 인증을 도입하는 것이 가장 안전한 방법이다.
[도움말=보안 119]
[박은주 기자(boan5@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
