최근 고급 공격자들 사이에서 다시 유행하기 시작한 RTF 주입 공격

2021-12-02 15:13
  • 카카오톡
  • url
RTF 포맷의 파일은 매우 유연하고, 그래서 업무에도 많이 활용된다. 아주 간단한 조작으로 악성 무기로 만드는 것도 가능하다. 최근 APT 단체들이 갑자기 이 RTF 파일의 가능성에 주목하기 시작했다.

[보안뉴스 문가용 기자] 러시아, 중국, 인도의 APT 공격 단체들이 새로운 피싱 전략을 활용하기 시작했다. 이 전략은 흉내 내기가 무척 쉬워서 다른 사이버 공격자들이 따라할 것이 우려되는 상황이다. RTF라는 문서 템플릿을 주입하는 것으로, 이에 대해 보안 업체 프루프포인트(Proofpoint)가 조사해 발표했다.


[이미지 = utoimage]

물론 피싱 공격자들이 과거 RTF 포맷을 단 한 번도 사용하지 않았던 것은 아니다. 다만 그러한 공격 방식이 이렇게까지 유행한 적은 한 번도 없었다는 게 프루프포인트의 설명이다. “RTF 템플릿에 작성된 가짜 콘텐츠는, 피해자가 해당 RTF 파일을 여는 순간 외부 URL에 호스팅 된 진짜 콘텐츠를 가져옴으로써 변경될 수 있다는 특징을 가지고 있습니다. 공격자는 이 URL 주소를 변경시켜 악성 행위를 실시할 수 있습니다.”

프루프포인트는 “RTF 포맷의 파일은 원래부터 대단히 유연성이 높았다”며 “다양한 객체들을 수용할 수 있는 구조로 만들어졌기 때문”이라고 설명한다. “공격자들로서는 악성 URL을 심어두고, 그 링크의 도착지에 악성 파일 및 페이로드를 호스팅 해 두면 끝입니다. RTF 파일은 특성과 관련된 정보를 평문 문자열로서 저장하기 때문에 가짜 파일 혹은 피싱용 파일을 제작하는 게 상당히 간단해집니다.” 프루프포인트의 부회장인 셰럿 드그리포(Sherrod DeGrippo)의 설명이다.

프루프포인트는 RTF 파일의 일정 부분을 변경시켜 공격자들이 원하는 URL을 삽입하는 것이 “해커들에게는 대단히 사소한 일일 뿐”이라고 말한다. “RTF 파일 포맷은 원래 콘텐츠 내 링크를 눌렀을 때 다른 파일과 연결되도록 설계되어 있습니다. 하지만 특성을 잠깐 손봄으로써 특정 URL에 연결된 자원이 다운로드 되도록 만들 수 있습니다. .rtf 파일만이 아니라 .doc.rtf과 같은 확장자를 가진 파일에도 같은 기술을 적용할 수 있습니다.”

프루프포인트가 확보한 RTF 파일 샘플들은 현재 일반 백신으로 탐지하기가 어려운 것으로 조사됐다. “경보가 울리지 않으면 사용자들 입장에서 당연히 속기가 쉽습니다. 사용자가 이 문서를 열 경우, 가끔 ‘서버에 접속해 정보를 찾고 있습니다’라는 메시지가 잠깐 보이기도 합니다. 보통의 워드 파일이나 RTF 파일을 열 때 나타나는 메시지는 아니죠. 하지만 항상 이런 메시지가 뜨는 건 아닙니다. 보안다고 해도 너무 잠깐이라 놓치기 쉽고요.”

프루프포인트는 현재 유행하고 있는 RTF 주입 공격을 시작한 APT 그룹을 현재까지 세 개 발견한 상태다. 하나는 두낫(DoNot) 팀으로, 주로 인도 정부의 편의와 이익을 위해서 공격을 실시하는 것으로 알려져 있다. 이들의 공격은 7월 8일부터 발견되고 있다. 그 다음은 TA423으로 분류되는 중국 APT 단체들이 9월 29일부터 이 전략을 활용하고 있음을 발견할 수 있었고, 10월 5일부터 러시아의 APT 단체인 가마레돈(Gamaredon)이 등장했다고 한다.

“APT 단체의 기술력과 수준을 생각했을 때 RTF 문서를 활용한 피싱 기법은 정말 어울리지 않습니다. 유치한 수준이죠. 하지만 APT 단체들이라고 해서 항상 고급 공격 기술만 발휘하는 건 아닙니다. 이들에게 가장 중요한 건 목적 달성이지 기술 연마가 아니거든요. 아무리 유치해도 효과가 좋고 효율이 좋으면 사용할 수 있고, 그렇게 하고 있습니다. 공격에 투자되는 자원이 적다는 건 공격자들에게 커다란 장점이 되죠.”

이런 쉽고 간단한 공격 기법을 사용했을 때의 또 다른 장점은, 공격자 추적이 어려워진다는 것이다. “고급 공격은 고급 해킹 도구들을 수반합니다. 고급 해킹 도구는 아무나 만들 수 없기 때문에 발견되는 순간 공격자의 정체도 드러나죠. 하지만 RTF 주입처럼 어느 누구나 할 수 있는 기법을 사용하면 특정 단체를 지목하기가 어려워집니다. 추적, 분석, 조사에 더 큰 혼란을 야기할 수 있다는 뜻이죠.”

RTF 주입이라는 간단한 공격이 통하는 건 많은 기업들이 RTF 포맷의 파일을 굳이 차단하지 않기 때문이다. “RTF 포맷의 문서는 정상적인 업무 활동에 자주 사용되죠. 기업 입장에서는 차단하기로 결정하고 설정하기가 여간 망설여지는 게 아닙니다. 공격자들도 이 점을 잘 알고 있지요.”

프루프포인트는 APT들 사이에서 서서히 퍼지기 시작한 이 공격 기법이 곧 일반 사이버 범죄 단체들 사이에서도 퍼질 것으로 보고 있다. “원래 고급 APT 공격자들이 사용한 기법은 일반 사이버 범죄자들 사이에서도 퍼집니다. 수준 높은 공격 기술을 일반 해커들이 빠르게 학습하는 것이죠. 그러면서 상향평준화가 되고 있고요. RTF 주입 전략은 따라하기가 쉽고 간단하기 때문에 더더욱 빨리 퍼져갈 수 있습니다. RTF 문서에 대한 주의가 당분간 필요합니다.”

시장 분석 업체 포레스터(Forrester)는 “피싱 공격이라는 말이 너무 널리 알려져 있어 우습게 보는 경향이 있는데, 최고 수준의 보안 전문가들마저도 가끔씩 이 단순한 피싱에 속는다”고 경고한다. “일반 사용자들이 업무 때문에 자주 사용하는 RTF 문서를 활용한 피싱 공격이라면 누구나 속을 수 있습니다. 피싱은 기술적 제어 장치 마련과 반복적인 교육과 훈련을 병행해야 막을 확률이 높아집니다. 이번 RTF 주입 공격 역시 알리고, 주의시키고, 시험해야 할 겁니다.”

3줄 요약
1. APT 공격자들, 갑자기 RTF 파일을 활용한 피싱 공격 시작.
2. 공격 흉내 내기가 너무 쉬워서 일반 사이버 범죄 단체들로도 퍼져갈 듯.
3. RTF는 업무에 자주 사용되는 파일 포맷이라 일괄 차단하기 힘드니 보안 교육이 중요.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

헤드라인 뉴스

TOP 뉴스

이전 스크랩하기


과월호 eBook List 정기구독 신청하기

    • 다후아테크놀로지코리아

    • 인콘
      통합관제 / 소방방재

    • 센스타임

    • 센스타임

    • 아이브스

    • 아이디스

    • 엔토스정보통신

    • 웹게이트

    • (주)아이리스아이디

    • 하이크비전

    • 쿠도커뮤니케이션
      인공지능 영상분석

    • 한화테크윈
      CCTV 카메라 / 영상감..

    • ZKTeco
      ProFace X

    • 원우이엔지
      줌카메라

    • 한일에스티엠

    • 현대틸스
      팬틸트 / 카메라

    • 지오멕스소프트
      XEUS 통합플랫폼

    • 이화트론

    • 에이치엔시큐리티(주)

    • 테크스피어
      손혈관 / 차량하부 검색기

    • 다후아테크놀로지코리아

    • 아이쓰리시스템(주)

    • 미래정보기술(주)

    • 슈프리마
      출입통제 / 얼굴인식

    • 대경무선통신
      재난경보시스템 IP방송 경..

    • 하이앤텍

    • ITX_AI

    • 경인씨엔에스
      CCTV / 자동복구장치

    • 비전정보통신

    • 성현시스템

    • (주)씨유박스

    • 씨엠아이텍

    • 트루엔
      IP 카메라 / 인공지능 ..

    • 한국씨텍(주)

    • 이오씨

    • 주식회사 비앤에스

    • A3시큐리티

    • (주)투윈스컴

    • (주)우경정보기술

    • 지에스티

    • AIS테크놀러지

    • 디비시스
      CCTV토탈솔루션

    • 화이트박스로보틱스

    • 신우테크
      팬틸드 / 하우징

    • (주)네이즈

    • 케이제이테크
      지문 / 얼굴 출입 통제기

    • (주)엔시드

    • (주)셀링스시스템

    • 사라다

    • 아이엔아이
      울타리 침입 감지 시스템

    • 새눈
      CCTV 상태관리 솔루션

    • 주식회사 에스카

    • (주)수퍼락

    • 태정이엔지
      CCTV 스마트폴 / 함체..

    • 엔에스게이트

    • 퍼시픽솔루션

    • 다원테크

    • (주)에이앤티글로벌

    • 두레옵트로닉스
      카메라 렌즈

    • (주)일산정밀

    • 지와이네트워크

    • 지에스티엔지니어링
      게이트 / 스피드게이트

    • (주)글로벌티에쓰시엠그룹

    • 완텍

    • (주)동양유니텍

    • (주)에프에스네트웍스

    • 모스타

    • 케이엠티

    • 구네보코리아주식회사

    • 네티마

    • 지엘에스이

    • 대산시큐리티
      CCTV 폴 / 함체 / ..

    • 포커스에이치앤에스
      지능형 / 카메라

    • 티에스아이솔루션
      출입 통제 솔루션

    • 메트로게이트
      시큐리티 게이트

    • (주)넥스트림

    • 글로넥스
      카드리더 / 데드볼트

    • 유진시스템코리아
      팬틸트 / 하우징

    • 카티스
      출입통제 / 외곽경비

    • 세환엠에스(주)

Copyright thebn Co., Ltd. All Rights Reserved.

MENU

회원가입

PC버전

닫기