악성코드 숨긴 영상 유튜브 업로드해 배포 채널로 악용
EDR 솔루션 통한 탐지 어려워

[보안뉴스 김형근 기자] 악성 실행 파일을 이미지와 영상의 픽셀 데이터로 인코딩해 기존 탐지 메커니즘을 우회하는 픽셀코드(PixelCode) 기법을 보안 연구자들이 시연했다.

픽셀코드는 바이너리 데이터를 시각적 픽셀 표현으로 변환해 멀티미디어 콘텐츠에 삽입, 탐지를 회피하는 수법이다. 표준 이미지 및 영상 형식을 전달 경로로 활용한다. 유튜브 같은 신뢰받는 플랫폼이 시각적 데이터의 내부 코드까지 정밀하게 검사하진 않는다는 허점을 노린다.


[출처: 말리셔스 픽셀코드 프로젝트]

이 기술을 시연한 ‘말리셔스 픽셀코드(Malicious PixelCode) 프로젝트’ 연구진에 따르면, 이 방식은 실행 코드를 영상 프레임의 픽셀 값에 숨겨 기존 보안 필터의 한계를 넘을 수 있다.

공격 첫 단계는 C++ 기반의 리버스 쉘 페이로드 개발이다. AES-CBC 암호화를 사용해 명령 및 제어(C2) 통신을 교묘하게 숨긴다. 이후 파이썬 기반 인코더로 컴파일된 EXE 파일을 시각적 데이터로 변환한다. 이 과정을 거치면 전체 실행 파일이 하나의 MP4 영상 파일로 탈바꿈한다.

이렇게 생성된 픽셀코드 영상은 유튜브에 업로드돼 겉보기엔 아무런 문제가 없는 일반적 콘텐츠로 위장한다.

연구진은 특정 영상 URL이 포함된 커스텀 로더를 유포했다. 이 로더 내부엔 영상 데이터에서 악성 바이너리를 추출하기 위한 파이썬 스테이저가 완벽하게 원본 그대로 심겨 있었다. 로더가 실행되면 유튜브에서 영상을 다운로드한 뒤, 프레임별로 픽셀 데이터를 분석해 원래의 바이너리 파일을 복구하는 과정을 거친다.

최종적으로 복원된 페이로드는 메모리에서 직접 실행돼 백엔드 서버와 암호화된 통신을 재구축한다. 이는 시스템의 직접적 통제권을 탈취하는 결과로 이어진다.


▲픽셀코드 공격 흐름도 [출처: 말리셔스 픽셀코드 프로젝트]

기존 엔드포인트 탐지 및 대응(EDR) 솔루션은 픽셀 데이터로 위장한 바이너리 식별에 어려움을 겪는다는 점을 악용한다. 네트워크 모니터링 도구 역시 멀티미디어 스트림 내부의 비정상적 코드를 분석하기보다는 네트워크 흔적에만 집중하기 때문에 이러한 공격을 놓칠 가능성이 크다.

전통적 파일 전송 탐지 시스템을 무력화하는 이 방식은 보안 업계에 새로운 과제를 던져주고 있다. 피해를 막기 위해선 신뢰할 수 있는 플랫폼이더라도 비정상적 영상 다운로드가 발생하지 않는지 모니터링하고, 의심스러운 프로세스 체인에 대한 분석을 강화해야 한다.

특히 멀티미디어 파일에 대한 자체 검사 능력을 향상하고, EDR 플랫폼이 메모리 내 실행되는 페이로드를 탐지할 수 있는지 꼼꼼히 점검해야 한다.

[김형근 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>