무려 50개국에 걸쳐 진행되고 있는 악성 피싱 캠페인이 발견됐다. 미국 우체국을 사칭한 문자로 PDF 파일을 보내는 게 특징인데, 문제는 이 PDF 파일에 효과적인 난독화 기술이 탑재되어 있어 보안 솔루션들이 잘 잡아내지 못한다는 것이다.

3줄 요약
1. 공격자에게도 편리하고 유용한 PDF.
2. 악성 PDF 활용한 대단위 피싱 캠페인 발견됨.
3. PDF나 피싱 모두 흔하다는 걸 악용한 게 핵심.

[보안뉴스 문가용 기자] PDF는 현대 업무 환경에서 이미 필수 요소다. 최근 보안 업체 짐페리움(Zimperium)에서 이런 PDF를 활용한 새로운 유형의 피싱 공격을 발견했다. ‘PDF는 안전하다’는 사용자들의 보편적인 인식을 파고든 것으로, 특히 모바일 기기들이 위험한 것으로 분석됐다. “모바일 환경에서는 파일 내용을 미리 확인하는 게 까다로운 편입니다. 그런데다가 PDF에 대한 신뢰도는 높죠. 둘을 합치면 ‘모바일에서는 PDF를 확인하지 않고 열어본다’는 행동 결과가 나옵니다. 공격자들이 노리는 지점이 바로 여깁니다.”


[이미지 = gettyimagesbank]

PDF를 악용한 최신 피싱 기법을 조사하면서 짐페리움은 악성 PDF 파일 20개 이상, 피싱 페이지 630개 이상을 발견했다. 이 정도 규모면 “대규모 캠페인이 진행 중이라는 뜻”이라고 짐페리움은 설명한다. 추적을 이어간 결과 악성 인프라의 존재가 확인됐는데, 무려 50개 이상 국가에 걸쳐 형성돼 있었다. “게다가 공격자들은 이전에 한 번도 발견된 적 없는 난독화 기술을 사용하고 있기까지 합니다. 현존하는 엔드포인트 보안 솔루션 대부분은 이 공격에 연루된 악성 링크를 제대로 분석하지 못하고 있습니다.”

공격자에게 PDF가 유용한 이유
공격자가 PDF 문서를 미끼로 사용했을 때의 좋은 점은 무엇일까? “기업 환경에서 대체 불가능한 도구로 자리 잡았기 때문에 널리 사용됩니다. 플랫폼과 기기를 넘나들며, 신뢰도 또한 높습니다. 작성자가 의도한 형식이 언제나 그대로 유지되며, 사용하기도 편리합니다. 텍스트는 물론 이미지, 하이퍼링크, 영상, 3D 모델, 디지털 서명 등을 최초 모습과 위치 그대로 품을 수 있기도 합니다. 변조가 불가능하다는 인식이 있을 정도로 편집이 까다롭습니다.”

이러한 특징들은 공격자들에게 다음과 같은 의미가 된다.
1) 기업 환경에서 대체 불가능 : 널리 사용된다, 즉 누구나 잠재적 공략 대상자가 될 수 있다.
2) 플랫폼과 기기를 넘나듦 : 공격을 기획할 때 특정 OS나 환경, 기기를 덜 고려해도 된다.
3) 신뢰도가 높음 : 피해자들을 속이기 쉽다.
4) 각종 요소들과 호환됨 : 다양한 요소들을 악용할 수 있다.
5) 무결성 인식이 팽배함 : 신뢰도가 높으므로 피해자들을 속이기 쉽다.

공격 시나리오
이번 캠페인은 먼저 한 문자메시지로부터 시작된다. “발신자는 미국 우체국(USPS)을 사칭하고 있으며, 메시지에는 PDF 파일이 첨부되어 있습니다. 피해자가 이 파일을 열면 가짜 웹사이트로 우회 접속됩니다. “이 악성 PDF 파일에는 링크가 포함되어 있습니다. 링크는 주로 /URI라는 태그를 사용하는데, PDF를 로딩할 리더 혹은 뷰어 프로그램이 특정 URL로 이동하도록 만듭니다.” /URI 태그는 주로 /URI(http://www.example.com)과 같은 형식이라고 하며, 괄호 안에 있는 주소로 우회 접속되는 게 보통이라고 짐페리움은 설명한다.

특이한 건 이 /URI 태그가 일반적인 형태를 가지고 있지 않다는 것이다. “공격자들은 표준 /URI 태그 대신 클릭 가능한 링크를 삽입했습니다. 그래서 분석 과정에서 악성 주소를 추출하는 게 더 어려워집니다.” 반대로 짐페리움의 연구원들이 동일한 악성 주소를 표준 /URI 태그로 표현했을 때는 잘 탐지됐다고 한다. 해당 기법이 탐지 기능을 효과적으로 회피한다는 사실이 확인된 것이다.

“클릭 가능한 링크가 /URI 태그 형태로 숨겨져 있다는 것”만이 이번 악성 PDF 파일의 비밀 전부가 아니다. URL 내에 엑스오브젝트(XObject)가 삽입되어 있다는 것도 중요한 발견이라고 짐페리움은 강조한다. “이런 기법을 사용해 공격자들은 PDF 내에 사용자가 클릭할 수 있는 버튼을 하나 만들어냈습니다. 피해자가 클릭하면 피싱 웹사이트로 우회 접속됩니다. 다만 PDF 뷰어 프로그램으로 어떤 걸 쓰느냐에 따라 이 공격은 통할 수도 있고 안 통할 수도 있습니다.”

피싱 페이지
결국 한 피싱 사이트로 유도하기 위한 장치들이 PDF 안에 두 가지나 마련되어 있다는 뜻이다. 이 피싱 사이트는 미국 우체국의 웹 페이지 중 하나처럼 생겼으며, 피해자는 제일 먼저 배송에 문제가 있는 듯한 내용의 메시지를 보게 된다. 이를 해결하려면 이름, 주소, 이메일, 전화번호 등 개인정보를 입력해야 한다는 알림도 같이 뜬다. 배송을 서두르려는 마음이 큰 피해자라면 이런 정보를 입력하는 데 큰 주저함이 없다.

피해자가 여기까지 진행한다면 두 번째 양식이 화면에 뜬다. 추가 정보(주로 신용카드 정보)를 입력해야만 한다는 것으로, 해당 정보는 암호화 되어 공격자가 운영하는 C&C 서버로 전송된다. 동시에 피해자의 브라우저에도 저장된다. 이 피싱 페이지는 다국어를 지원하기도 한다. “공격자들이 여러 국가들로부터 사용자들의 정보를 취득하고 있기 때문인 것으로 보입니다.”

그래서?
‘피싱’과 ‘PDF’에는 공통점이 있다. ‘흔하다’는 것이다. 흔한 것에 대해 사람들은 ‘익숙하다’고 착각하기가 쉽다. 실제 익숙한 게 사실일 수도 있다. 하지만 공격자들은 지속적인 변화를 가미함으로써 익숙한 것을 빠르게 낯선 것으로 변환한다. “어떤 것이라도 익숙하다고 간과하는 순간 공격을 허용할 가능성이 높아집니다. 현대 사이버 환경에서는 익숙했던 것들도 금방 불편하고 어려운 것들로 변한다는 걸 인지하는 게 더 중요합니다. ‘익숙한 것’이 아니라 ‘어제까지는 익숙했던 것’으로 생각을 바꿔야 합니다.”

짐페리움은 “PDF 파일이라도 무결성이 보장되지 않으며, 얼마든지 공격용으로 조작될 수 있다는 걸 기억하고 있어야 한다”고 강조한다. “PDF 내에도 악성 링크나 악성 버튼이 포함될 수 있습니다. 공격자들이 조금만 PDF 구조를 비틀면 보안 솔루션들이 그 악성 요소들을 탐지하지 못할 가능성이 높아지기도 하고요. 우리에게 좋은 도구는 공격자들에게도 유용할 때가 많다는 건 꾸준히 증명되고 있는 사실입니다.”
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>