오피스 매크로 기능 이용한 공격 급증... 2016 버전에 새로운 기능 도입
“자사 서비스서 테러리스트 콘텐츠 전부 차단 및 삭제하겠다”
[보안뉴스 문가용] 윈도우 시스템에 대한 매크로 공격이 지난 한 해 동안 작지 않은 골칫거리로 자리 잡았다. MS 오피스가 개입된 공격의 98%가 매크로 기능과 관련이 있다고 MS는 직접 밝힌 바 있다. PoS 시스템을 노리는 공격에도 매크로 활용 비율이 높은 편이고, 2월에 급증한 뉴트리노(Neutrino) 혹은 카시뎃(Kasidet)이라는 금융권 공격 캠페인에도 오피스의 매크로 기능을 활용해 드리덱스(Dridex)라는 멀웨어가 설치되었다. 대부분의 랜섬웨어에도 매크로 다운로더가 포함된 워드 문서가 활용된다.
.jpg)
▲ 테러리스트 빼고, 매크로 범죄자 빼고, 우리끼리 모여!
그래서 MS는 오피스 2016 버전에 새로운 보안 기능을 추가했다. 사용자들이 특정 상황에서만 매크로가 발동시킬 수 있도록 하는 옵션을 추가한 것이다. 리스크가 높은 상황에서는 매크로가 자동으로 차단되기도 한다. MS는 이미 오래 전에 매크로가 자동으로(디폴트) 활성화되지 않도록 조치를 취했으나 사용자들은 워드 파일을 열고, 특정 양식을 불러오고, 계산을 하는 등의 행위를 매크로에 대입해 자동으로 실시해왔다. 이것이 해커의 눈에 띄었고, 고스란히 공격으로 이어진 것.
“매크로에 기반을 둔 멀웨어 공격이 계속해서 증가하고 있고, 이는 MS 오피스 사용자들에게 잠재적인 골칫거리가 되고 있습니다. 매크로를 사용할 수도, 사용하지 않을 수도 없는 딜레마에 빠지게 된 것이죠. 그래서 오피스 2016에는 특정 상황에서 매크로가 발동하지 않도록 했습니다.” MS의 설명이다. “이 ‘특정 상황’이라는 것은 그룹 폴리시(Group Policy)를 통해 통제와 조정이 가능합니다. 예를 들면 ‘인터넷에서 내려 받은 워드, 엑셀, 파워포인트 파일은 실행하지 않는다’는 설정을 기업 차원에서 할 수 있게 된 것입니다.”
보안업체인 소포스(Sophos)의 보안 전도사인 폴 더클린(Paul Ducklin)은 오피스 2016의 새로운 정책으로 인해 사용자들이 매크로 사용을 좀 더 세밀하게 통제할 수 있게 될 것이라고 내다보고 있다. “매크로 프로그래밍 시스템에 좀 더 자세하고 정교한 제동을 걸 수 있게 되었습니다. 이것으로 매크로 공격이 얼마나 줄어들지는 모르겠습니다만 적어도 사용자들이 ‘보안에 대한 생각’을 이전보다 깊숙하게 할 수 있도록 한다는 점에서 이미 기대치가 높습니다.”
매크로 기능의 악용에 대해 주의를 기울이고 있는 건 MS만이 아니다. 인텔의 맥아피랩(McAfee Labs)도 최근 매크로 멀웨어의 급증에 대한 보고서를 발간한 바 있다. 그 보고서에 의하면 매크로 멀웨어는 2015년 3사분기 말 즈음에 그 전보다 세 배로 불어났다고 한다. 이는 2009년 이후 가장 높은 성장수치였다고 맥아피는 밝히고 있다.
질적인 발전도 무시할 수 없다. “매크로를 활용한 공격은 90년대에도 있었습니다. 하지만 최근의 매크로 멀웨어만큼 고차원적이진 못했죠. 요즘의 매크로 멀웨어들은 난독화 및 암호화가 기본입니다. 즉, 탐지가 매우 어려워지고 있는 것이죠.” 맥아피 측의 설명이다.
지난 12월에 발생한 우크라이나 대규모 정전사태에도 매크로가 활용된 것으로 알려졌다. 블랙에너지 3(BlackEnergy 3)라는 멀웨어를 리버스 엔지니어링해 분석한 에후드 샤미르(Ehud Shamir) 센티넬원(SentinelOne) CSO는 엑셀의 매크로 기능이 당시 공격에 악용된 사실을 밝혀낸 것. “악성 매크로가 포함된 엑셀 문서가 페이로드를 드롭했더군요. 그 페이로드에는 네트워크 스니핑 기능이 있었고요. 이걸로 정찰을 먼저 한 것이죠.”
한편 MS는 매크로 공격에 이어 테러리즘과의 전쟁도 선포했다. 자사의 서비스에 있는 모든 테러 관련 콘텐츠들을 삭제하겠다고 밝힌 것이다. MS는 자사 블로그를 통해 “MS의 서비스는 사용자들의 능력을 배가시키기 위한 것이지, 테러를 활성화시키기 위해서 존재하는 것이 아니다”라며 “프라이버시와 표현의 자유, 정보 열람의 자유를 지지한다”고 밝혔다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
- 공공·금융·민간 CPO, 개인정보처리자, 보안담당자 등 4,000여명 참석
- 공무원상시학습, CPPG, CISSP, CISA, ISMS등 관련 교육이수(최대 16시간) 인정
- CPO, 개인정보처리자, 보안담당자 등 사전 무료 참관등록(www.pisfair.org/2016/)
“자사 서비스서 테러리스트 콘텐츠 전부 차단 및 삭제하겠다”
[보안뉴스 문가용] 윈도우 시스템에 대한 매크로 공격이 지난 한 해 동안 작지 않은 골칫거리로 자리 잡았다. MS 오피스가 개입된 공격의 98%가 매크로 기능과 관련이 있다고 MS는 직접 밝힌 바 있다. PoS 시스템을 노리는 공격에도 매크로 활용 비율이 높은 편이고, 2월에 급증한 뉴트리노(Neutrino) 혹은 카시뎃(Kasidet)이라는 금융권 공격 캠페인에도 오피스의 매크로 기능을 활용해 드리덱스(Dridex)라는 멀웨어가 설치되었다. 대부분의 랜섬웨어에도 매크로 다운로더가 포함된 워드 문서가 활용된다.
▲ 테러리스트 빼고, 매크로 범죄자 빼고, 우리끼리 모여!
그래서 MS는 오피스 2016 버전에 새로운 보안 기능을 추가했다. 사용자들이 특정 상황에서만 매크로가 발동시킬 수 있도록 하는 옵션을 추가한 것이다. 리스크가 높은 상황에서는 매크로가 자동으로 차단되기도 한다. MS는 이미 오래 전에 매크로가 자동으로(디폴트) 활성화되지 않도록 조치를 취했으나 사용자들은 워드 파일을 열고, 특정 양식을 불러오고, 계산을 하는 등의 행위를 매크로에 대입해 자동으로 실시해왔다. 이것이 해커의 눈에 띄었고, 고스란히 공격으로 이어진 것.
“매크로에 기반을 둔 멀웨어 공격이 계속해서 증가하고 있고, 이는 MS 오피스 사용자들에게 잠재적인 골칫거리가 되고 있습니다. 매크로를 사용할 수도, 사용하지 않을 수도 없는 딜레마에 빠지게 된 것이죠. 그래서 오피스 2016에는 특정 상황에서 매크로가 발동하지 않도록 했습니다.” MS의 설명이다. “이 ‘특정 상황’이라는 것은 그룹 폴리시(Group Policy)를 통해 통제와 조정이 가능합니다. 예를 들면 ‘인터넷에서 내려 받은 워드, 엑셀, 파워포인트 파일은 실행하지 않는다’는 설정을 기업 차원에서 할 수 있게 된 것입니다.”
보안업체인 소포스(Sophos)의 보안 전도사인 폴 더클린(Paul Ducklin)은 오피스 2016의 새로운 정책으로 인해 사용자들이 매크로 사용을 좀 더 세밀하게 통제할 수 있게 될 것이라고 내다보고 있다. “매크로 프로그래밍 시스템에 좀 더 자세하고 정교한 제동을 걸 수 있게 되었습니다. 이것으로 매크로 공격이 얼마나 줄어들지는 모르겠습니다만 적어도 사용자들이 ‘보안에 대한 생각’을 이전보다 깊숙하게 할 수 있도록 한다는 점에서 이미 기대치가 높습니다.”
매크로 기능의 악용에 대해 주의를 기울이고 있는 건 MS만이 아니다. 인텔의 맥아피랩(McAfee Labs)도 최근 매크로 멀웨어의 급증에 대한 보고서를 발간한 바 있다. 그 보고서에 의하면 매크로 멀웨어는 2015년 3사분기 말 즈음에 그 전보다 세 배로 불어났다고 한다. 이는 2009년 이후 가장 높은 성장수치였다고 맥아피는 밝히고 있다.
질적인 발전도 무시할 수 없다. “매크로를 활용한 공격은 90년대에도 있었습니다. 하지만 최근의 매크로 멀웨어만큼 고차원적이진 못했죠. 요즘의 매크로 멀웨어들은 난독화 및 암호화가 기본입니다. 즉, 탐지가 매우 어려워지고 있는 것이죠.” 맥아피 측의 설명이다.
지난 12월에 발생한 우크라이나 대규모 정전사태에도 매크로가 활용된 것으로 알려졌다. 블랙에너지 3(BlackEnergy 3)라는 멀웨어를 리버스 엔지니어링해 분석한 에후드 샤미르(Ehud Shamir) 센티넬원(SentinelOne) CSO는 엑셀의 매크로 기능이 당시 공격에 악용된 사실을 밝혀낸 것. “악성 매크로가 포함된 엑셀 문서가 페이로드를 드롭했더군요. 그 페이로드에는 네트워크 스니핑 기능이 있었고요. 이걸로 정찰을 먼저 한 것이죠.”
한편 MS는 매크로 공격에 이어 테러리즘과의 전쟁도 선포했다. 자사의 서비스에 있는 모든 테러 관련 콘텐츠들을 삭제하겠다고 밝힌 것이다. MS는 자사 블로그를 통해 “MS의 서비스는 사용자들의 능력을 배가시키기 위한 것이지, 테러를 활성화시키기 위해서 존재하는 것이 아니다”라며 “프라이버시와 표현의 자유, 정보 열람의 자유를 지지한다”고 밝혔다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
- 국내 최대 규모의 개인정보보호 컨퍼런스 PIS FAIR 2016 - 6월 9일(목)~10일(금) 개최- 공공·금융·민간 CPO, 개인정보처리자, 보안담당자 등 4,000여명 참석
- 공무원상시학습, CPPG, CISSP, CISA, ISMS등 관련 교육이수(최대 16시간) 인정
- CPO, 개인정보처리자, 보안담당자 등 사전 무료 참관등록(www.pisfair.org/2016/)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
