보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

이젠 마우스 호버링 통해서도 멀웨어 감염된다

입력 : 2017-06-10 15:04
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
오피스 파워포인트 문서의 보안 기능 넘기위해 개발된 듯
지금은 파워포인트 환경에서만...앞으로는 널리 활용될 것으로 보여


[보안뉴스 문가용 기자] 마이크로소프트의 파워포인트 프레젠테이션 내에서 하이퍼링크가 걸린 텍스트나 이미지 위로 마우스 커서를 올려놓는 것만으로 공격이 성립될 수 있다는 연구 결과가 발표됐다. 보안 전문업체인 트렌드 마이크로(Trend Micro)가 발견한 이 ‘마우스 호버링(mouse hover)’ 테크닉은 이미 유럽 및 중동, 아프리카 지역의 생산, 교육, 화력, 물류, 기기 제조 산업을 겨냥해 활용되고 있다고 한다.

[이미지 = iclickart]


“위 산업에 속해있는 기업들을 겨냥해 스팸 공격이 한창 진행 중에 있으며, 이 스팸 공격에는 트로이목마형 다운로더가 동반되고 있습니다. 트렌드 마이크로도 샘플 확보에 성공했으며, 분석 결과 OTLARD라는 뱅킹 트로이목마를 가져오는 기능이 있음을 알아냈습니다. OTLARD는 굿키트(Gootkit)라는 이름으로도 알려져 있습니다.”

트로이목마라는 이름이야 보안 업계에서 익숙한 것이긴 하지만 “특이하게도 마우스 클릭이 아니라 마우스 호버만으로 다운로드가 시작되도록 설계되어 있어” 흥미롭다고 트렌드 마이크로의 부회장 마크 누니코벤(Mark Nunnikhoven)이 설명한다.

굿키트가 처음 세상에 공개된 건 2012년의 일이다. 처음부터 업계에 큰 인상을 남긴 멀웨어는 아니었는데, 시간이 지남에 따라 정보 탈취, 원격 접근, 강력한 잔류 기능, 네트워크 트래픽 모니터링, 브라우저 침투 기능이 더해져 꽤나 위협적인 존재로 변했다. 주로 유럽의 은행권 정보를 노리는 공격에 활용됐다.

“굿키트는 유럽 금융권에서는 유명한 놈이라 많은 기업들이 대처를 하고 있어요. 그래서 사실 ‘만만히 보는’ 녀석이기도 하죠. 그런데 마우스 호버를 통한 감염이라는 새로운 기능을 달고 나온 겁니다. 굿키트에 대해 ‘대처가 되어 있다’고 여겨서는 안 된다는 뜻입니다. 게다가 마우스 호버만으로 다운로드가 된다는 건, ‘클릭만 하지 않으면 된다’는 기존의 보안 실천 사항의 근간을 뒤흔드는 거라 더욱 위험합니다.”

이 ‘마우스 호버’ 멀웨어는 청구서나 인보이스로 가장한 스팸 이메일 속에 첨부된 악성 파워포인트 Open XML 슬라이드쇼 파일(PPSX)이나 파워포인트 쇼 파일(PPS) 형태로 확산된다. 이 둘은 흔히 파워포인트 파일로 알려져 있는 PPT나 PPTX와는 다른 파일이니 구분이 필요하다. PPS와 PPSX 파일은 프레젠테이션 모드로 곧바로 열린다는 차이점이 있다.

피해자가 이 파일을 다운로드 받아 열면 콘텐츠가 그냥 화면에 출력되는 게 아니라 사용자의 행위를 유도한다. 컴퓨터 환경에서 이뤄지는 일이니, 여기서 말하는 행위 중엔 마우스 커서를 악성 링크가 걸려있는 이미지나 링크에 올려놓는 걸 포함한다. 이 부분에서 이미 다운로드가 시작되기 때문에 사용자가 조심성을 발휘해 클릭을 자제해도 소용이 없다.

마이크로소프트는 최신 오피스 버전에 프로텍티드 뷰(Protected View)라는 기술을 도입시켜 기본적으로 의심스러운 파일들을 차단하도록 했다. 멀웨어를 설치하려는 공격자에겐 상당히 성가신 것으로, 이 기능을 해제시켜야 공격을 진행시킬 수 있다. 마우스 호버는 이를 뛰어넘기 위한 것으로 “현재까지는 파워포인트에서만 작동하도록 되어있으나, 앞으로 다른 오피스 문서들에도 적용될 것”이라고 예상된다.

다행히 이 전략은 파워포인트 온라인(PowerPoint Online)이나 오피스365의 웹 모드에서는 통하지 않는다. 둘 다 오프라인 및 데스크톱 버전과 같은 기능을 가지고 있지 않기 때문이다. 다만 로컬 기기에 오프라인 버전 파워포인트가 설치되어 있다면 오피스365 사용자들이라고 하더라도 공격에 당할 수 있다.

마우스 호버 기능을 활용한 공격은 이후 사이버 범죄자들 사이에서 꽤나 연구되고 응용될 것으로 보인다. 악성 페이로드를 배포하기 위해 추가적 혹은 단계적 공격을 실시하지 않아도 되기 때문이다. 게다가 오피스 문서들은 멀웨어 공격에 있어 늘 선호되던 도구이기도 했다. “특히 PDF 파일은 사이버 공격자들 사이에서 엄청나게 많이 활용되죠. 기업들끼리 정보를 주고받을 때 가장 많이 사용하는 게 바로 PDF를 비롯한 오피스 문서들이기 때문입니다.”

이러한 발견들은 일반 사용자들의 행동 범위를 점점 좁히는 것처럼 보인다. “인터넷을 사용하면 늘상 해야만 하는 마우스 클릭 행위도 위험하니 조심해야 했는데, 이제는 그 마우스를 어디론가 옮기는 것조차 신경 써야 하니 참 답답하죠. 그렇다고 마우스 없이 컴퓨터를 사용할 수도 없고요.”

그렇지만 방어할 방법이 아예 없는 건 아니다. “가장 효과적인 방어법은 웹 필터링입니다. 즉 멀웨어가 호스팅 되어 있는 곳으로는 아예 접근이 되지 않도록 시스템적으로 막아놓는 것입니다.” 누니코벤의 설명이다. “또한 마이크로소프트 오피스 사용자라면 프로텍티드 뷰 기능을 항상 사용해야 합니다. 그래야 감염의 확률을 낮출 수 있거든요. 매크로도 당연히 비활성화시키고요. OLE와 마우스 호버링 기능도 비활성화시키세요.”

하지만 업체에 따라 이런 기능들을 활성화시켜야만 한다면, “항상 켜두는 게 아니라 꼭 필요할 때만 켰다가 끄는 게 좋을 것”이라고 누니코벤은 권장한다.
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 1
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
영상정보처리기기 및 안전조치 기준
개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
손해배상책임 의무대상자 변경 및 확대
공공기관 개인정보 보호수준 평가 확대
기타(댓글로)