블로그

지란지교시큐리티의 생생한 최신 소식과 알림을 전달합니다.

[새니 이야기: 4화] 공공기관이 랜섬웨어 유포지가 될 수 있다?!
새니2022-12-09

안녕하세요 랜섬웨어 예방 전문가 새니에요 ('')

 

 

 

여러분은 랜섬웨어가 어떻게 들어온다고 생각하시나요?

인터넷에서 파일 다운로드 하다가? 고객민원 게시글에 첨부된 링크를 클릭해서? 

임직원들의 보안 인식이 높아지면서 인터넷에서 다운로드 받은 파일이 실행파일이면 의심하고, PC에 기본적으로 설치된 백신이 악성파일를 차단해버려 사용자 PC에 직접 유입되지 않습니다.

요즘 랜섬웨어는 이런 보안 기술을 우회하기 위해 실행파일(.exe)의 형태가 아닌 임직원에게 친숙한 비즈니스 문서 형태로 변화하여 접근하는 추세입니다. 엑셀, 한글, 파워포인트, PDF 같은 일반적인 문서파일 말이죠!

 

 

오늘은 공공기관에서 발생했던 공격사례를 통해 비즈니스 파일로 위장한 악성코드가 어떻게 전파되는지 알아보고, 이러한 공격에 대응하는 방법에 대해 소개해드릴게요!

 

 

▣ 공공기관 대상 악성코드 공격사례

내용 이해를 돕기 위해 각색된 내용이 포함되어 있습니다.

 

 

CASE 1. 대민지원 신청을 위장한 공격

 

[그림 1] 대민지원 온라인 신청 화면

 

 

코로나-19가 전국적으로 발생하고 정부에서는 격리입원자의 이탈 예방을 위하여 생활지원비를 제공했는데요, 해당 지원을 신청하기 위해서 몇 가지 서류가 제출되어져야 합니다.

 

이 때 시민으로 위장한 악의적인 공격자가 온라인 신청을 접수하였고, 제출서류에 ‘생활지원비 신청서.hwp’ 파일을 첨부하였습니다. 담당자는 당연하게 시민의 접수로 판단하여 신속한 지급처리를 위해 파일을 실행하였는데요, 사실 이 파일은 OLE(Object Linking and Embedding)를 이용한 문서로 클릭 시 객체에 삽입된 악성코드가 실행되는 악성파일입니다.

 

이러한 파일을 아무런 의심 없이 확인한 담당자는 이유도 모른채 랜섬웨어에 걸리고, 기관의 시스템까지 공격이 확대되어 정부지원사업을 신청한 시민들이 제출한 중요한 개인정보를 탈취당하는 큰 피해를 입었습니다.

 

 

 

CASE 2. 자료게시판을 통한 악성파일 유포 공격

 

[그림 2] 정보공유 게시판에 첨부될 수 있는 악성문서

 

 

위 사례에서는 기관이 피해를 입었다면 이번엔 기관의 게시판을 통해 정보를 공유하는 개인들까지 보안공격 피해를 입은 사례를 소개해드리겠습니다.

 

 

개인이 소유한 정보를 공유하여 선한 영향력을 끼칠 수 있는 장으로 만들어진 정보공유 게시판에 수업 활동자료가 올라와 있습니다. 다른 사용자가 이 자료를 수업에 활용하기 위해 다운로드 받았고 실행하자 랜섬웨어에 걸렸습니다. 이 자료 역시 VBA(Visual Basic for Application)를 통해 랜섬웨어를 유포하는 악성파일이었습니다. 자료안에 들어있는 버튼을 클릭하게 되면 자동으로 랜섬웨어 다운로드 경로를 호출하는 코드가 삽입되어 있지만 문서에 보이는 내용만으로는 이러한 공격이 은닉되어 있다는 사실을 알 수 없습니다.

 

 

공공기관에서 운영하는 게시판이기에 신뢰할 수 있었지만 게시자가 악의적인 공격자일 경우 공공기관의 게시판은 랜섬웨어의 유포지로 전락하고 사용자는 속수무책으로 당할 수밖에 없습니다.

 

 

▣ 게시판을 통한 악성코드 유포 공격 대응 방법

 

[그림 3] 게시판에 등록되는 파일에 대한 CDR 적용 구성도(웹 서버)

 

 

문서를 위장하여 악성코드를 유포하는 공격에 대응하는 방법으로 'CDR(Content Disarm and Reconstruction)'이 탁월합니다. 

 

 

CDR은 제로트러스트 기반 보안 기술로 비즈니스 문서형태의 파일은 모두 직접 검증하여 안전한 파일로 변환하여 사용자에게 전달됩니다. 안전한 파일로 변환되는 과정을 간략히 소개해드리면, 지정된 구간으로 유입된 파일의 구조를 분석하여 보안 위협이 될 수 있는 액티브콘텐츠 영역은 모두 제거하는 무해화 과정을 거친 후 다시 재조합하는 프로세스로 진행됩니다. 

 

정상문서처럼 보이지만 보이지않는 곳에 악성코드를 숨겨놓는 악성코드 은닉 문서 공격으로부터 모든 문서를 안전한 형태로 재구성하는 새니톡스로 문서형 악성코드를 대응할 수 있습니다.

 

게시판을 대상으로 하는 업로드파일 위장 공격은 많은 대중에게 노출되는 영역이기 때문에 다양한 형태의 위협으로 확장될 수 있으므로 하나 이상의 게시판이 운영하고 있는 공공기관에서는 증가하는 문서위장 공격에 대한 예방이 꼭 필요합니다.

 

문서로 위장한 악성코드의 공격 범위가 점차 확대되고 있습니다. 메일을 통한 공격이 주를 이뤘던 첨부파일 위장 공격이 이제 홈페이지 게시판을 통해 업로드/다운로드되는 구간까지 확대되었습니다. 이처럼 문서파일이 유통되는 모든 포인트가 악성문서의 공격지가 될 수 있으므로 공격 가능한 구간은 점차 확대될 것으로 예상됩니다.

 

문서가 통하는 구간이라면 이제 선제대응해야 합니다.

 

다음 시간에는 ‘제로트러스트(Zero-Trust)’에 대한 이야기를 준비해 볼 예정이니 구독과 이웃신청 부탁드려요 ('')

 

 

 

새니톡스(SaniTOX)의 더 자세한 내용은 아래 링크에서 확인하세요!

▶ 랜섬웨어 대응 솔루션 새니톡스 자세히 보기

 

 

[출처]

최민지, 신강식, 정동재. (2021). 문서형 악성코드 탐지를 위한 HWP 포맷 취약점 분석. 한국정보과학회 학술발표논문집, 1188-1190.

손승호, 조호묵, 정동재. (2022). MS-Word 문서형 매크로 악성코드의 효율적 탐지를 위한 포맷 분석 및 위협 인자 추출 방안. 한국정보과학회 학술발표논문집, 1321-1323.

 

 

#새니톡스 #랜섬웨어 #랜섬웨어예방 #랜섬웨어대응방안 #랜섬웨어대응솔루션 #보안솔루션 

  • 새니
    새니톡스 콘텐츠 요정
  • 노는 게 제일 좋은! 궁금한 건 못 참아서 끝까지 알아내고! 그 지식을 다양한 시각을 가진 사람들과 나누는 것을 좋아하는 지란인

최신글

  • [새니 이야기: 3화] 랜섬웨어에 대응하는 다양한 보안 솔루션
  • 얼마 전 다양한 주제로 선풍적인 인기를 끌었던 드라마 ‘이상한 변호사 우영우’ 재밌게 보셨나요? 자폐 스펙트럼 장애를 가진 천재 신입 변호사 우영우가 비장애인에게는 당연시되던 틀에 박힌 규칙과 문제들을 새로운 시각으로 바라보며 자기만의 방법으로 씩씩하게 해결해 나가는 성장과정을 다양한 에피소드를 통해 보여주었는데요, 결국 사랑도 이복동생의 마음도 지켜주며 정규직 변호사가 된 우영우변호사를 보며 괜스레 ‘뿌듯함’이라는 감정을 공감했답니다 ^o^
  • 새니2022-09-29
  • [새니 이야기: 2화] 디지털 전환 시대에 기업에서 꼭 체크해야 할 랜섬웨어 대응 방안
  • 나날이 더워지는 요즘, 새니이야기 구독자님들 모두 건강하게 잘 견뎌내고 계시나요?  몇 년 전만 해도 좋은 날씨로 많은 관광객을 불러 모았던 유럽은 현재 심각한 폭염으로 몸살을 앓고 있다고 해요.  보통 25℃ 이하였던 영국 런던의 여름 평균 기온이 40℃를 찍었고, 유럽 곳곳에서 철로가 휘고 도로포장이 위로 솟아오르며 잇따른 화재가 발생하고 있다고 합니다. 
  • 새니2022-08-23