PDF가 가장 많이 사용돼...사회공학적 기법 이용 

[보안뉴스 호애진] 타깃형 공격이 국내에서 활발하게 진행되고 있는 것으로 나타났다. 타깃형 공격은 특정 기업 및 기관을 집중 공격해 데이터를 훔치거나 타깃 시스템 내 침투하는 것을 목적으로 하며, 이로 인해 발생하는 피해가 크기 때문에 위험성이 높은 공격이다.

지난해 농협 전상망 마비나 넥슨·SK컴즈 개인정보 유출 사고도 이 타깃형 공격에 당한 것으로 알려져 있다. 이러한 공격에 사용되는 방법 중 하나는 취약점이 포함된 문서를 유포시키는 것이다.

이 문서 파일들을 살펴보면 다양한 포맷으로 이뤄져 있다. 특히 PDF 파일을 이용한 공격이 가장 많이 발생하고 있으며, 하우리 선행기술팀이 발표한 자료에 따르면 국내서 발견된 악성 파일 중 52%가 PDF였다. 이어 HWP(25%), DOC(14%), XLS(7%), PPT(2%) 순이다.

PDF의 경우, 전 세계적으로 쓰이는 포맷으로 이에 대한 취약점 연구가 활발하게 이뤄지고 있고, 많은 해커들이 이를 통해 익스플로잇을 제작하고 있기 때문에 가장 높은 비율을 차지하고 있는 점은 어찌보면 당연하다고 볼 수 있다.

그러나 문제는 HWP가 28%에 달한다는 사실이다. HWP는 국내에서만 지원되는 포맷이기 때문에 이와 같이 높은 비율은 해커들이 국내를 타깃으로 하고 있으며, 공격을 위해 HWP의 취약점을 이용하는 데 주력하고 있다는 것을 의미한다.

특히 공공기관에서 HWP의 이용도가 높다는 점을 감안할 때 공격의 타깃이 될 가능성이 높다. 이와 관련, 미국에서 지난해 타깃형 공격이 공공부문에서 가장 많이 발생했다는 시만텍의 연구 결과를 참고해 볼 필요가 있다.  

특히, 타깃형 공격에는 사회공학적 기법이 이용된다. 예를 들어 기업 내부자의 메일로 가장하거나 업무 메일로 위장해 악성 파일을 첨부하는 것이다. 따라서 이러한 피해를 막기 위해서는 자체 내 보안 시스템을 체계적으로 구축하는 것도 중요하겠지만 직원들의 보안 의식을 강화시키는 것이 우선돼야 한다.

세계 굴지의 보안 업체인 RSA도 타깃형 공격을 받았다. 이로 인해 일회용 패스워드 생성기인 OTP(One Time Password) 생성 알고리즘이 유출돼 지난해 전세계적으로 이슈가 됐다. 인사담당자가 메일에 첨부된 ‘2011년 채용계획’이라는 제목의 엑셀 파일을 열어본 것이 해킹의 발단이 됐다.  

이에 최상명 하우리 선행기술팀장은 “타깃형 공격은 기업 및 기관 내 직원들을 타깃으로 사회공학적 기법을 이용해 이메일에 악성 파일을 첨부하는 경우가 많다”면서 “첨부된 파일을 열어보기 전에 한번 더 주의를 기울이고 문서 프로그램에 대한 최신 보안 패치를 적용하는 것을 생활화 하는 것이 좋다”고 강조했다.

또한, 그는 “문서 취약점의 경우 기존의 악성코드를 탐지하는 시그니처 탐지 기법으로 진단하기에는 어려움이 있기 때문에 이를 효과적으로 진단하기 위해서는 행위기반과 같은 방법이 필요하다”며, “현재 효과적인 탐지 방법에 대해 연구를 활발하게 진행하고 있는 중”이라고 덧붙였다.

[호애진 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>