기업의 최대 보안 구멍, 문서형 악성코드 “실제 분석해볼까”

2024-09-26 19:06
  • 카카오톡
  • 네이버 블로그
  • url
ISEC Training Course DAY 1, ‘문서형 악성코드 구조 이해 위협 인자 식별·추출 교육’ 실습
한글, PDF, 워드 등 문서 프로그램 정상 기능 속 숨은 악성코드 식별·추출 방법은?


[보안뉴스 박은주 기자] 이미 여러 기업에서 보안 솔루션을 사용하고 있음에도 불구하고 문서형 악성코드로 인한 피해가 가장 많이 발생한다. 문서형 악성코드는 사회공학적 기법으로 사용자를 속이고, 보안 솔루션 탐지를 회피하며 변형이 잦아 완벽한 방어가 어렵다. 보안 솔루션이 미처 발견하지 못하는 위협을 식별·분석하고 위협에 대응할 수 있는 능력이 보안 담당자에게 요구된다.


[이미지=gettyimagesbank]

10월 개최되는 ISEC 2024에서 KAIST 사이버보안연구센터와 함께 인공지능을 활용해 문서형 악성코드를 직접 분석하고 대응하는 기술을 배울 수 있는 ‘ISEC Training Course’가 마련됐다. 교육은 ISEC 2024 개막 하루 전인 10월 15일부터 17일까지 총 3일간 진행된다. 실무에 즉시 활용할 수 있는 능력을 배양할 수 있다는 점이 ‘ISEC Training Course’의 가장 큰 장점이다.

첫째 날에는 문서형 악성코드 구조와 특징, 최신 위협 동향을 학습하고, 악성코드를 식별·분석하는 교육이 진행된다.

DocScanner로 파헤치는 문서형 악성코드
교육 첫째 날 첫 시간에는 문서형 악성코드의 기본 정의와 특성을 파악한다. 실제 공격자는 PDF나 MS Office, 한글 파일의 정상 기능을 활용해 악성 인자를 삽입한다. 정상 문서로 위장한 악성 문서를 메일로 발송하는 것이다.

메일 내용은 사회공학적 기법을 사용해 업무와 관련 있게 만들어 열람을 유도한다. 사용자가 문서를 실행하는 순간 시스템이 침투하는 방식이다. 이러한 공격 사례를 파악하고, 현실적인 위협을 이해하는 시간을 가진다.

이때 문서형 악성코드를 분석하는 데는 ‘DocScanner(독스캐너)’가 사용된다. 독스캐너는 인공지능(AI)과 인공지능 결정의 인과관계를 투명하게 신뢰할 수 있도록 하는 XAI(eXplainable AI)를 기반으로 개발된 문서형 악성코드 탐지 기술이다. 문서 내 위협 인자를 탐지하고 분석하는 기능을 제공하며, 이를 통해 문서의 구조를 면밀하게 살펴볼 수 있다.

오전 세션에서는 PDF 문서의 오브젝트 구조와 특징에 대해 학습한 뒤, 정상적인 기능을 활용해 삽입된 위협 인자를 분석하는 실습이 진행된다. PDF 파일은 구조적으로 여러 오브젝트가 포함돼 있어 악성 요소가 숨겨지기 쉬운 형태를 띠며, 이러한 특징을 악용한 공격이 빈번하게 일어난다. 참가자는 PDF 파일 내 오브젝트 구조를 직접 분석하고, 악성 인자를 추출하는 방법을 실습함으로써 PDF 파일의 안전성을 점검하는 방법을 배우게 된다.

문서 프로그램별 OLE·OOXML 구조에 삽입된 악성코드를 찾아라
오후에는 Microsoft Office 문서 내 OLE(Object Linking and Embedding)와 OOXML(Open Office XML) 구조에 대한 심도 있는 학습과 실습이 이어진다. OLE는 문서 내 이미지나 스프레드시트, 오디오 파일 등의 객체를 삽입하는 기능이다. 공격자는 문서 기능을 악용해 정상적인 기능으로 위장한 공격을 수행하는 데 자주 사용된다. 교육 참가자는 OLE 구조를 활용해 문서 내 삽입된 악성 인자를 분석하고 추출하는 실습으로 악성 파일을 식별하는 방법을 익힐 수 있다.

이후 진행되는 OOXML 실습에서는 문서 파일을 ZIP 파일 형식으로 저장하고 여러 XML 파일이 포함된 구조를 분석한다. MS Office에서 사용하는 엑셀, 워드, PPT 등 문서 파일도 XML을 기반으로 한다. 공격자는 XML 파일에 매크로나 악성 스크립트를 삽입해 문서가 열릴 때 자동으로 실행되도록 공격을 진행하는데, 실습으로 이를 탐지하고 분석해 본다. OLE와 OOXML 구조 모두 문서 파일 내부에 악성코드를 은닉할 수 있고, 보안 솔루션 탐지를 회피할 수 있어 더욱 주의를 기울여야 한다.

한국에서는 한글(HWP) 파일을 활용한 공격도 다수 이뤄지고 있다. 따라서 한글 문서의 OLE와 OOXML 구조와 특징을 파악하고 위협 인자를 분석 및 추출하는 실습을 진행한다. 이러한 교육을 통해 국내 환경에서 발생할 수 있는 사이버 공격에 더욱 능동적으로 대응할 수 있을 것으로 보인다.

문서형 악성코드가 노리는 취약점 식별
첫째 날 마지막 교육으로는 문서형 악성코드에 자주 사용되는 취약점 현황을 살펴보고 취약점을 악용하는 악성코드를 분석한다. 실습에서는 대표적인 문서형 악성코드 △CVE-2017-11882(CVSS 7.8), MS Office 메모리 손상 취약점 △CVE-2022-30190(CVSS 7.8), 지원 진단 도구의 원격 코드 실행 취약점을 분석해 본다. 취약점이 문서 파일에서 어떻게 구현되고 악용되는지 파악하고, 악성코드를 식별하는 방법을 배우게 된다.

이처럼 ISEC Training Course 첫째 날 교육을 통해 문서형 악성코드 분석에 필요한 지식을 다지고, 보안담당자의 역량을 기를 수 있는 교육이 진행된다. 공격자 관점에서 문서형 악성코드를 이해할 수 있고, 문서형 악성코드에 대한 효과적인 대응전략을 세워 능동적인 방어 체계를 마련하는 계기가 될 것으로 예상된다.

ISEC Training Course는 10월 15일부터 17일까지 총 3일간 진행되며, 둘째 날에는 ‘식별된 위협 인자 기반 AI 기반 탐지모델 생성 기술’을, 셋째 날에는 ‘생성형 인공지능 기반 변동 문서형 악성코드 생성 및 탐지 우회기술’에 관한 교육이 진행된다. 참가를 원하는 보안실무자는 ISEC 2024 홈페이지에서 신청할 수 있다.
[박은주 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

연관 뉴스

헤드라인 뉴스

TOP 뉴스

이전 스크랩하기


과월호 eBook List 정기구독 신청하기

    • 알티솔루션

    • 인콘

    • 엔텍디바이스코리아

    • 마이크로시스템

    • TVT코리아

    • 아이디스

    • 씨프로

    • 웹게이트

    • 지오멕스소프트

    • 하이크비전

    • 한화비전

    • ZKTeco

    • 비엔에스테크

    • 비엔비상사

    • 원우이엔지

    • 지인테크

    • 다후아테크놀로지코리아

    • 이화트론

    • 다누시스

    • 테크스피어

    • 렉스젠

    • 슈프리마

    • 혜성테크윈

    • 시큐인포

    • 미래정보기술(주)

    • 비전정보통신

    • 인텔리빅스

    • 경인씨엔에스

    • 세연테크

    • 성현시스템

    • 한결피아이에프

    • 유니뷰코리아

    • 디비시스

    • 프로브디지털

    • 스피어AX

    • 투윈스컴

    • 트루엔

    • 한국씨텍

    • 위트콘

    • 유에치디프로

    • 넥스트림

    • 포엠아이텍

    • 세렉스

    • 제이슨

    • 라온시큐어

    • 시만텍

    • 유니닥스

    • 사이버아크

    • 한국IBM

    • 신우테크
      팬틸드 / 하우징

    • 에프에스네트워크

    • 네이즈

    • 케이제이테크

    • 셀링스시스템

    • 창성에이스산업

    • 아이엔아이

    • 미래시그널

    • 새눈

    • 에스에스티랩

    • 유투에스알

    • 에이앤티코리아

    • 네티마시스템

    • 태정이엔지

    • 에이티앤넷

    • (주)일산정밀

    • 주식회사 에스카

    • 두레옵트로닉스

    • 넥스텝

    • 모스타

    • 에이앤티글로벌

    • 현대틸스
      팬틸트 / 카메라

    • 지에스티엔지니어링
      게이트 / 스피드게이트

    • 엘림광통신

    • 보문테크닉스

    • 지와이네트웍스

    • 티에스아이솔루션

    • 구네보코리아주식회사

    • 동양유니텍

    • 엔에스티정보통신

    • 엔시드

    • 포커스에이치앤에스

    • 메트로게이트
      시큐리티 게이트

    • 엠스톤

    • 글로넥스

    • 유진시스템코리아

    • 카티스

    • 세환엠에스(주)

Copyright thebn Co., Ltd. All Rights Reserved.

MENU

회원가입

Passwordless 설정

PC버전

닫기