유연한 SVG 파일에 악용해 피싱 메일 공격....다운로더·피싱 유형
출처 불분명한 메일 클릭 자제하고, SVG 파일 각별한 주의 기울여야

[보안뉴스 박은주 기자] 최근 SVG(Scalable Vector Graphics) 포맷의 악성코드가 다수 유포 중인 정황이 확인됐다.


▲SGV 포맷 악성코드가 담긴 피싱메일[자료=ASEC]

SVG 파일이란, 확장할 수 있는 벡터 그래픽을 나타내는 XML 기반의 파일 형식이다. 디지털 환경에서 그래픽 작업에 강점이 있어 주로 아이콘, 차트, 그래프 등에 사용된다. 코드 내 CSS 및 JS(자바스크립트)를 사용한다는 특징이 있다. 이러한 특징을 이용해 다양한 유형의 SVG 악성코드를 유포하고 있다.


▲SVG 악성코드 유형 (왼쪽부터)다운로더 유형, 피싱 유형[자료=ASEC]

공격자는 피싱 메일 본문을 통해 해당 파일을 실행하는 방법을 설명한다. 일반적인 방법으로 SGV 파일을 실행할 경우, 웹 브라우저를 통해 파일이 열리고 악성코드가 실행된다.

안랩 시큐리티 인텔리전스 센터(ASEC)가 분석한 결과 SGV 악성코드는 크게 두 가지 유형으로 구분된다. 첫 번째 ‘다운로더 유형’으로 문서 내 PDF 파일 다운로드를 유도한다. 내부 코드를 살펴보면, 이미지 콘텐츠 요소에 하이퍼 링크가 걸려 있는 것을 확인할 수 있다. 해당 주소에서 추가 악성코드가 내려지는 방식이다.

공격자는 하이퍼링크 주소로 대부분 드롭박스(Dropbox), 빗버킷(Bitbucket) 등 정상적인 파일 호스팅 서비스를 이용하고 있다. 내려받은 파일은 패스워드가 설정된 압축 파일로, 패스워드는 SVG 실행 시 본문에서 확인할 수 있다. 압축 파일에는 정보 유출 및 백도어 기능을 가진 에이싱크RAT(AsyncRAT) 악성코드가 포함돼 있다.

두 번째는 피싱 유형으로 엑셀 문서를 확인하기 위해 사용자 계정 정보 입력을 유도한다. 이미지 콘텐츠 요소 사이에 난독화된 JS 코드가 함께 존재하는 것을 확인할 수 있다. 입력된 계정 정보를 Base64 인코딩 후 공격자 서버로 전송하는 기능을 수행한다.

이와 같이 SVG 악성코드는 악성 기능을 수행하는 코드가 이미지 컨텐츠 요소 사이에 숨겨져 있어 일반적인 사용자가 악성 파일임을 알아채기 어려울 수 있다.

최근 다양한 포맷을 이용해 악성코드가 제작되고 있으며, SVG 포맷의 악성코드 유포가 늘어나고 있어 각별한 주의가 요구된다. 사용자는 출처가 불분명한 메일에 첨부된 파일을 열람하는 행위를 자제해야 한다. 특히 SVG 포맷의 파일이 첨부됐을 경우 각별한 주의가 필요하다.
[박은주 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>