보안뉴스 창간 15주년을 축하합니다!!

Home > 전체기사

악성 매크로 이용하는 공격자들, 수법이 계속 교묘해진다

  |  입력 : 2021-05-06 16:16
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
악성 매크로를 피해자 시스템에서 활성화시키는 것이 지상 최대 과제인 공격자들이 이제는 인도의 콜센터 직원을 사칭하는 수법까지 동원했다. 인간의 목소리로 매크로를 활성화시키라고 하니까, 더 많은 사람들이 속았다.

[보안뉴스 문가용 기자] 악성 매크로를 사용해 윈도 시스템을 감염시키는 공격 행위가 지난 한 해 동안 크게 늘어났다. 공격자들이 사용자들의 ‘매크로 허용’을 유도하는 방법을 새로 터득했기 때문이다. 보안 업체 소포스(Sophos)의 수석 연구원인 체스터 위즈니우스키(Chester Wisniewski)는 “피싱 공격의 성능이 떨어질 줄을 모른다”고 말한다.

[이미지 = utoimage]


“최근 저희가 발견한 공격은 흔한 기존 공격처럼 ‘영수증’으로부터 시작합니다. 그런데 이 피싱 공격은 ‘콜센터’라는 요소까지 중간이 포함시킵니다. 피해자가 인도에 있는 콜센터 직원과 연결되도록 일을 꾸미는 것이죠. 그러면 이 콜센터 직원은 어떤 웹사이트로 피해자를 안내합니다. 피해자는 여기서 악성 워드 문서를 다운로드 받게 되고요. 받은 후에도 콜센터 직원이 계속해서 안내를 해가며 매크로 활성화까지 자연스럽게 이끌어냅니다. 이 ‘인간의 음성’이라는 요소가 사람들을 꽤나 안심시키고 있습니다.” 위즈니우스키의 설명이다.

소포스가 조사한 바에 따르면 2020년 하반부부터 악성 매크로가 심긴 마이크로소프트 오피스 문서의 활용도가 높아졌다고 한다. “악성 첨부파일을 동원한 공격의 1/3을 차지합니다. 9월에는 전체 악성 첨부파일 공격에서 이러한 공격 수법(콜센터 직원을 동원한 수법)의 80%를 차지하기도 했습니다. 중간에 사람을 개입시키는 것이 극적으로 성공률을 높이자 너도 나도 달려든 것이죠.”

악성 매크로를 활용한 악성 문건 공격은 대단히 오래된 수법이다. 하지만 여전히 피해자가 나오고 있으며, 여전히 여러 응용 기법이 등장하고 있는 상황이다. “악성 첨부파일을 탐지하는 엔드포인트 방어 도구들 역시 점점 발전하고 있습니다. 공격자들은 악성 첨부파일을 사용하는 걸 포기하지 않고, 오히려 더 머리를 써서 솔루션들의 발전을 뛰어넘습니다. 아주 오래된 취약점을 다시 익스플로잇 하는가 하면, 색다른 요소를 중간에 투입시키기도 하면서요.”

이런 공격을 제대로 막으려면 사실 매크로와 같은 문서 내 ‘명령 실행’ 기능을 전면 금지시켜야 한다. 하지만 매크로는 문서 작업과 사무 환경에서 긍정적인 이유로 널리 사용되기 때문에 직원들로부터 매크로를 무조건 금지시키는 것이 실질적인 해결책이 될 수 없다고 위즈니우스키는 설명한다.

“몇 년 전이었다면 저는 아마 매크로 같은 거 필요도 없고 절대 사용해서는 안 된다고 말했을 겁니다. 실제로 그런 비슷한 말을 공공연하게 하기도 했었고요. 그랬더니 한 1만 명 정도가 자신들의 업무를 수행하는 데 있어 매크로가 얼마나 중요한지를 저에게 알려주셨어요. 조금 흥분하신 분도 계셨고요. 중요한 건 제가 모든 상황을 다 알 수 없는 상황에서 섣부르게 말을 한 감이 있었다는 겁니다. 그리고 누군가에게 매크로는 대단히 중요한 기능이고요.”

그러한 사실 때문에 공격자들은 지치지 않고 매크로 활용법을 연구한다고 보안 업체 바로니스(Varonis)의 기술 관리자인 킬리안 엥글러트(Kilian Englert)는 설명한다. “보안 전문가로서는 매크로 사용하지 말라고 말하는 게 가장 쉽고 확실합니다. 하지만 매크로도 쓰는 사람들이 다수 존재하는 기능이고, 따라서 ‘비활성화’가 실제적인 답이라고 말하기도 어렵습니다. MS는 사용자가 매크로 기능을 활성화할 때 경고를 띄우는데, 사실상 이것이 MS가 할 수 있는 최대의 조치입니다.”

오피스의 최신화를 유지하는 것도 악성 매크로 공격의 성공 가능성을 낮추는 방법 중 하나다. 실제 많은 사용자들이 패치가 자동으로 적용되도록 하고 있지만, 그래도 패치가 되지 않은 오피스가 훨씬 더 많은 것이 현실이다. “심지어 오피스 업데이트를 하면 시스템이 다운될지 모른다며 업데이트를 일부러 늦추는 경우들도 있습니다.”

엥글러트는 “결국 악성 매크로 공격에 대한 가장 실용적이면서 실질적인 방어법은 직원들을 대상으로 한 보안 교육”이라고 말한다. “가장 완벽한 방법일 수는 없습니다. 아무리 교육을 해도 누군가 어느 시점에는 뚫릴 수밖에 없어요. 게다가 공격자들도 전략과 수법을 계속해서 바꾸는 중이므로 100% 막는다는 게 불가능할 수밖에 없지요. 하지만 가장 현실적인 방법임에는 틀림이 없습니다.”

엥글러트는 “하지만 조직에 따라 매크로 사용자가 많지 않다거나 매크로가 정말 필요한 것이 아니라면 매크로를 전사적으로 비활성화시키는 것을 고려하는 것도 좋은 방법”이라고 말한다. 또한 “산업 전체적으로 매크로를 서서히 줄여가는 움직임을 일으키는 것도 중요한 일”이라고 엥글러트는 덧붙였다. “마치 플래시가 사라졌듯, 매크로도 그렇게 될지 모르겠습니다. 매크로 공격이라는 측면에서는 그게 낫겠죠. 그런데 그러려면 매크로를 대체할 만한 새로운 기능과 편의성이 제공되어야 합니다. 사용자들로부터 무조건 빼앗는 건 통하지도 않을 뿐더로 좋지도 않은 방법입니다.”

3줄 요약
1. 악성 매크로 활용하려는 공격자들, 점점 수법이 교묘해짐.
2. 매크로 비활성화시키면 공격 차단 가능하지만, 사실상 비효율적인 일.
3. 교육 병행하고, 매크로를 서서히 대체시키는 방안을 마련하는 것이 중요.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
엔사인 파워비즈 2021년6월1일~11월30일 까지2021 전망보고서넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
지난 5일 밤 발생한 카카오톡 장애로 인해 일명 ‘넷플릭스법’에 대한 관심이 다시금 높아지고 있는데요. 통신서비스 품질 유지 의무를 부과하고 있는 기업 가운데 가장 안정적인 서비스를 제공하는 부가통신사업자는 어디라고 생각하시나요?
네이버
카카오
웨이브
넷플릭스
구글
페이스북