공격자들이 사랑하는 엑셀, 못 쓰게 막을 수도 없고

어떤 환경에서나 널리 사용되는 생산성 도구...공격자들도 이 점 노리고 있어
블랙리스트로 처리하자니 업무에 지장 초래...시그니처 기반 탐지로 막기 힘들어

[보안뉴스 문가용 기자] 보안 업체 라스트라인(Lastline)이 지난 5개월 동안 악성 엑셀 4.0(XL4) 문서의 진화를 추적한 보고서를 발표했다. 보안 도구들의 진화보다 한 발 앞서가려는 공격자들의 노력이 특히나 인상 깊었다고 한다.

[이미지 = utoimage]

엑셀 스프레드시트는 많은 조직들이 업무에 활용하는 대표적인 도구 중 하나다. 그렇기 때문에 대부분 사람들에게 친숙하고, 친숙하기 때문에 경계심이 흐트러지기 쉽다. 이 점을 피싱 공격자들은 집요하게 파고들고 있다. 문서를 통해 악성 매크로를 활성화시킴으로써 피해자의 시스템에 최초로 침투하게 되는 것이다.

라스트라인은 지난 5개월 동안 “수천 개의 악성 엑셀 문서를 접했다”고 한다. 그리고 이 무수히 많은 샘플들을 통해 위협이 어떤 식으로 변화하고 있는지도 알 수 있었다. “악성 엑셀 문서를 통해 공격자들은 자동 샌드박스 분석 기능을 우회하고, 시그니처 기반 탐지 역시 피해가며, 심지어 분석가들의 수동 분석도 방해하는 게 가능합니다. 악성 엑셀 문서의 유형이 차례차례 바뀌는데, 매번 새로운 기술과 전략이 추가됩니다. 신구의 조화가 잘 일어나죠.”

한 차례의 유행이 새롭게 나타나는 데 걸리는 시간은 고작 1~2주밖에 되지 않는다고 한다. 매번 더 집요해지고 고도화 된다. “저희가 발견해 분석한 샘플들 거의 대부분이 툴킷이나 문서 생성기로 만들어진 것으로 보입니다. 조금씩 발전하지만 큰 줄기에서 보면 서로 닮아 있기도 합니다. 배후에 있는 자들이 현재 집중하고 있는 건 탐지 기술을 피해가는 것과 난독화입니다. 그 부분에서 많은 기술 발전이 이뤄지고 있습니다만, 핵심 기능을 그대로입니다. 즉 추가 페이로드를 다운로드 받는다는 궁극적 목적을 달성하기 위해 만들어진 것입니다.”

라스트라인의 블로그에 의하면 엑셀 문서들 내에 탑재된 매크로들은 꽤나 직관적이고 만들기도 쉽다고 한다. 그렇기 때문에 시그니처 기반 탐지 기술을 회피하기 위한 목적으로 살짝 씩 수정하는 것이 용이하다. “보안 업체들 입장에서는 애써 시그니처를 추가했더니 곧바로 무용지물이 되는 느낌이죠. 늘 바뀌니까요. 또 이 엑셀 문건들을 확보해 심도 있게 분석해보지 않았기 때문에 대처가 충분치 않기도 합니다.”

첫 번째로 나타났던 엑셀 문서들의 경우 페이로드를 보유한 매크로가 감춰져 있었다. 또한 피해자들이 매크로 코드를 활성화시키도록 유도하기 위한 이미지도 포함되어 있었다. 이 엑셀 문서들의 가장 큰 특징은 샌드박스와 OS를 확인하는 기능이 탑재되어 있다는 것이었다.

이것을 기본을 업그레이드 된 엑셀 4.0 문서들이 1~2주 간격으로 나타나기 시작했다. 그러면서 탐지를 회피하기 위한 기술, 페이로드를 배포하는 또 다른 방식, 페이로드 실행 타이밍 등이 추가로 나타나거나 변경됐다. 샌드박스와 OS를 확인하는 기능들도 점진적으로 발전했다.

라스트라인 측에서 지적한 또 다른 중요 포인트는, “엑셀 4.0의 매크로를 활용한 전략이 멀웨어 제작자들에게 ‘끝없는’ 가능성을 제공하고 있다”는 것이다. “공격자들은 실제로 다채로운 방법으로 매크로 악용의 모습을 보여주고 있습니다. 짧은 간격으로 변하고 또 변하죠. 이 속도를 방어자들이 좇아가기는 많이 힘듭니다.”

가장 중요한 건 이 매크로라는 것이 일반인들의 정상적인 업무에도 널리 사용되고 있으며, 사실상 이제는 업무와 떼어 놓기 힘든 도구가 되었다는 점이다. 따라서 공격자들이 매크로를 악의적으로 사용한다는 걸 알아도 매크로를 아예 버리기는 힘들다.

“엑셀 4.0 매크로는 공격자들에게 있어 높은 가치를 가지고 있습니다. 공격을 안정적으로 만들어주는 훌륭한 도구로서 자리 잡아가고 있습니다. 워낙 일반인들 사이에서 광범위하게 사용되고 있기 때문에 어떤 환경에서도 악성 코드를 실행시키기에 좋은 도구가 됩니다. 엑셀을 블랙리스트에 올려놓는 게 가능할까요? 따라서 보안 업체들과 방어자들, 그리고 보안 분석가들은 계속해서 진화하는 악성 엑셀 문서에 좀 더 익숙해져야 합니다.”

4줄 요약
1. 일반 업무에서도 광범위하게 사용되는 엑셀, 공격자들에게 가치가 높은 도구.
2. 엑셀 매크로를 통해 악성 코드를 다운로드 받는 전략, 갈수록 다채롭고 날카로워짐.
3. 시그니처 기반으로는 막는 것 불가능. 엑셀을 블랙리스트로 막는 것도 불가능.
4. 악성 엑셀 매크로에 대한 방어 전략을 새롭게 수립할 필요 있음.
[국제부 문가용 기자(globoan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)