• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

사이버 공격자들 사이에 스테가노그래피 기법 유행 중 2017.08.07

정상적인 이미지나 동영상 파일 등에 악성 페이로드 숨겨
기존의 백신 및 안티멀웨어 솔루션으론 방어 힘들어

[보안뉴스 문가용 기자] 보안 전문 업체 카스퍼스키는 사이버 스파잉 캠페인 여러 건을 추적 중에 있는데, 지난 주에만 세 개의 그룹이 스테가노그래피 기법을 활용하는 것을 발견했다고 발표했다. 훔쳐가는 데이터의 내용이나 자신들의 악성 코드를 주입시킬 때 그 내용물을 숨기는 것에 대해 눈을 뜨기 시작했다는, 대단히 안 좋은 소식이다.

▲ 잠깐, 밑장 빼기냐? [이미지 = iclickart]


스테가노그래피는 암호화와는 조금 다르다. 비밀로 하고 싶은 텍스트 메시지 등의 콘텐츠를 그렇지 않은 메시지나 콘텐츠 안에 숨기는 기법을 스테가노그래피라고 한다. 겉으로 보기에는 뭔가가 숨겨진 것 같지도 않고, 굉장히 ‘정직한’ 것처럼 보이지만 실상은 그렇지 않은 것처럼 만드는 게 스테가노그래피다.

카스퍼스키의 눈에 띈 캠페인들의 경우 해커들은 피해 조직들로부터 데이터를 빼내고, C&C 서버와 통신을 했는데, 이런 은밀한 트래픽을 평범한 이미지나 동영상 파일 속에 숨겼다고 한다. 해당 ‘보통 이미지 및 동영상 파일’에 대한 수정도 굉장히 미비해서 백신이나 안티멀웨어 툴들에 의해 발각되지도 않았다. 또한 현대의 악성 코드 탐지 솔루션들 대부분 스테가노그래피 공격에 대부분 취약하다는 것도 지적되었다.

보통은 수준이 높고 자원이 풍부하다고 알려진 사이버전 스파이들의 경우, 이렇게 새로운 기법을 활용하는 게 그리 놀라운 소식은 아니다. 더 큰 문제는 사이버 스파이보다 한 단계 아래 수준에 있는 일반 사이버 범죄자들 사이에서도 이런 기법이 활용되고 있다는 것이다. “제우스(Zeus) 뱅킹 트로이목마와 샤문(Shamoon) 디스크 삭제형 멀웨어 등과 함께 활용되고 있어요. 이는 일반 범죄 시장의 멀웨어 제작자들도 트래픽 숨기기 기술을 갖춰나가고 있다는 뜻이 됩니다.” 카스퍼스키의 보안 전문가인 알렉시 슐민(Alexey Shulmin)과 에브게니야 크릴로바(Evgeniya Krylova)의 설명이다.

“현대의 조직들이 가지고 있는 안티멀웨어 솔루션들은 스테가노그래피 공격에 취약합니다. 즉 디지털 이미지나 동영상 파일에 악성 데이터를 조금씩만 숨긴다면 사실상 검색대를 무사통과할 수 있다는 겁니다. 그러므로 멀웨어도 빠져나가고, 기밀도 빠져나가고, C&C 서버와의 통신도 빠져나갈 수 있다는 것이죠. 이는 각 조직의 보안 담당자들이 반드시 염두에 두어야 할 내용입니다.”

스테가노그래피는 굉장히 오래된 기법이라고 카스퍼스키 측은 설명을 이어갔다. “짐들 사이에 스파이를 숨겨놓고 경찰의 수색을 피해간다거나, 풀 더미 속에 무기를 숨겨놓고 성 밖으로 빼돌린다던가 하는 장면은 영화에서도 많이 본 것이죠. 이 원리를 사이버 상으로 옮겨온 것이 스테가노그래피고, 이것 역시 꽤나 오래된 수법인 것으로 알려져 있습니다.” 에브게니야 크릴로바는 “기존 안티멀웨어 종류의 솔루션보다 수학적이고 통계학적인 방법으로 접근했을 때 스테가노그래피에 대항할 수 있다”고 설명한다.

이처럼 악성 내용물을 숨긴 텍스트, 이미지, 동영상 파일 등을 스테그콘테이너(Stegcontainer)라고 부르는데, 크릴로바는 “스테그콘테이너의 종류가 무궁무진하다”고 말한다. “최근엔 음성 파일에 악성 코드가 섞여 있는 것도 봤고, 도메인 이름마저도 사용되고 있는 걸 파악해냈습니다.”

그렇지만 가장 문제가 되는 건 역시 이미지 파일이라고 한다. “보통 C&C 통신에 사용되는 트래픽이 이미지 파일에 많이 숨어듭니다. 공격을 받은 시스템에 명령을 보낼 때도, 시스템에서 뭔가를 C&C로 되돌려 보낼 때도 대부분 이미지 파일에 담긴 페이로드가 오갑니다.”

그렇다면 스테가노그래피 기법으로 모든 콘텐츠를 숨길 수 있을까? “아직은 이 부분에 대한 분석이 더 이뤄지고 있습니다. 하지만 스테그콘테이너들의 크기를 너무 크게 만들 수 없다는 게 현재 범죄자들의 제약사항이긴 합니다. 즉, 한꺼번에 많은 정보를 스테가노그래피로 빼돌릴 순 없다는 것이죠. 지나치게 뭔가를 숨기면 원래의 이미지나 동영상이 눈으로 얼른 보기에도 변형됩니다.”
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>