최근 국내외에 발생되고 있는 악성코드 제작자는 윈도우의 보안 취약점을 이용하기 보다는 사회공학적 기법을 많이 이용한다. 몇 년 전만 해도 공격자들은 취약점(Vulnerability)이나 코드에 신경을 썼지만 요즘은 사회적 관심과 이슈를 활용하는 사회공학적 기법에 더 치중한다.

윈도우와 같은 OS나 기타 응용프로그램들의 취약점을 이용하는 경우 코드 구현에 시간이 소요된다. 이는 사용자가 보안 패치 업데이트를 하면 쉽게 예방할 수 있지만 사회공학적 기법을 이용하는 경우에는 근본적인 예방법이 없다.

사회공학적 기법으로 악용되는 매개체의 종류

사회공학적 기법은 주로 사진, 동영상, 메일, 메신저 등의 매개체의 열람, 링크, 첨부파일 실행을 통해 악성코드를 유포한다. 이를 통해 악성코드 제작자가 의도하는 행동을 하거나 수집된 정보를 이용해 해킹에 사용한다.

1. 사진

최근에 사진을 이용하는 경우는 중국발 악성코드를 추적하다가 사회공학적 기법이 사용된 것을 확인할 수 있다.

악성코드를 이미지 파일인 것처럼 가장해 상대방에게 자극적인 문구 등으로 호기심을 유발해 실행하게끔 해서 전파한다. 이미지 확장자의 my****.jpg 파일은 50we**.com 에 악성코드 유포자가 계정을 만들어 업로드 해 놓았으며 my****.jpg 파일은 no****ack.com 에서 다른 악성코드들을 다운로드 받아 실행하라는 스크립트로 구성돼 있다.

이미지 확장자 파일을 확인하기 위해 실행하는 순간, 스크립트가 실행되면서 Trojan(트로이목마, KillAV), Backdoor(백도어), Worm(웜)의 3 가지의 악성코드가 다운로드 돼 시스템을 감염시킨다.

다음의 no****ack.com 사이트는 프랑스에 있다. 이미지 및 동영상 파일을 업로드 하지만 파일 확장자와 파일 포맷이 일치하는지 비교하지 않기 때문에 악성코드를 유포하는 사이트로 악용되고 있다.

최초의 전파는 사회공학적 기법으로 이용된다. 시스템을 감염시킨 후 공유 폴더와 이동식 저장 매체(USB, 이동식 디스크 등)를 통해 전파된다.

2. 동영상

동영상을 이용해 악성코드를 전파하는 경우는 유명 연예인과 관련된 동영상이 있었다. 사회적 이슈가 있었던 유명 배우의 동영상 유출과 관련해 게시판, P2P, 인터넷 카페 등에서 악성코드가 함께 유포됐다.

해당 파일은 다음 그림과 같이, 아이콘과 파일 속성이 Adobe Flash Player 파일로 돼 있다. 해당 파일을 실행하면 동영상이 실행되며 사용자 모르게 시스템에 악성코드가 설치된다. 실제 동영상이 실행되므로 일반 사용자들은 해당 파일에 대해서 유해성을 의심하지 않는다.

또 Program Files 폴더에 다음과 같은 파일들을 생성하는데 KB~.exe 파일은 악성코드이며 Liu~.exe 파일은 동영상 파일이다.

동영상과 같이 유포됐던 KB~.exe 파일은 일반적인 *Scar 트로이 목마다. 해당 트로이목마는 fast*******.net, on**.net 사이트에 접속해서 다른 *Scar 트로이 목마를 다운로드 받게 하는데 이 사이트는 국내에 존재한다.

악성코드 제작자가 원격지 사이트(Remote Site)에 업데이트하는 악성코드에 따라 공격자는 다양한 악의적인 의도를 수행할 수 있다. 윈도우즈 방화벽에 자기 자신을 예외로 등록해 악의적인 행위에 제약을 받지 않는다.

3. 메일

메일의 경우에는 일반적으로 기후(날씨), 유명인 신상정보, 기념일 등 기타 사회 이슈를 이용해 악성코드를 유포시킨다. 최근 공격자들은 사회공학적 기법의 성공 확률을 높이기 위해 사전 데이터 수집 작업을 거쳐 이를 기반으로 조작된 메일을 발송한다.

발송된 정상 메일을 기반으로 타깃(특정 기업, 기관, 이해관계자 그룹)의 특성에 맞게끔 재수정하고 악성코드를 삽입해 발송한다. 사용자가 메일을 확인하면 아이디와 비밀번호를 입력하는 피싱창으로 전환하거나 첨부파일을 확인하도록 유도한다.

이런 방법으로 메일 열람 시스템에 악성코드를 감염시켜 정보를 절취해 간다. 일반적으로 악의적인 메일의 경우 영문으로 제작되나 특정 타깃을 목표로 하는 경우에는 메일 제목이나 첨부 파일이 한글로도 제작된다.

이에 민감한 사항이나 의구심이 드는 메일은 발신자에게 유무선, 내선, 모바일 등으로 확인해 악성코드 제작자의 타깃이 되지 않는 것이 중요하다.

4. 메신저

메신저의 경우는 악성코드로 수집된 정보를 이용한다. 타인의 메신저로 로그인한 후, 기존의 신뢰 관계를 이용해 금전적인 요구를 하거나 악성코드 전파를 위해 악의적인 링크를 전송한다. 사회공학적 기법에 메신저를 이용하는 경우는 사회적으로 보안인식 교육이 이뤄지고 있어 최근에는 그 피해 사례가 줄고 있다.

보안인식 교육 필요

인간의 심리를 악용하는 사회공학적 기법의 가장 좋은 예방법은 바로 보안인식 교육의 주기적인 시행이다. 또 이 보안 인식 교육에는 외부에서 어떤 데이터가 유입되더라도 반드시 무결성과 더불어 유해성 검증이 포함돼야 한다.

이를 위해 안티 바이러스 제품으로 유해성을 검증하고 데이터 송신자에게 확인하는 최소한의 절차를 통해 사고를 방지하는 것이 현명하다. 앞에서도 말했듯이 민감한 사항이나 의구심(비일상적인 상황)이 드는 경우 반드시 진실여부를 확인한 후 행동해야 한다.

남아프리카공화국 월드컵이 6월에 시작된다. 그 전후 사람들의 보안 의식이 약해지는 것을 틈타 사회공학적 기법과 연계된 다양한 악성코드들의 유입이 이뤄질 것으로 예측된다. 그 동안의 사례들을 바탕으로 피해를 최소화할 수 있는 보안인식 교육의 시행이 더욱 필요한 시점이다.

<글 : 황재훈 선임연구원 하우리 보안대응센터 코드분석팀(jhhwang@hauri.co.kr)>

[월간 정보보호21c 통권 제116호(info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>