입사지원서로 위장한 랜섬웨어 공격

이번 에세이에서는 입사지원서로 위장한 랜섬웨어 사례에 대해 설명드리려고 합니다. "정상 소프트웨어로 위장한 랜섬웨어 감염 사례" 글에서 랜섬웨어에 대한 가장 기본적인 내용을 말씀드렸는데, 오늘도 어렵지 않은 선에서 설명드리면서 알고 있으면 도움이 될만한 기술적인 내용도 담아보도록 하겠습니다.

​

우선 랜섬웨어에 대해 간략히 리마인드 하자면.. '데이터를 인질로 잡아 몸 값을 요구하는 악성코드'라고 설명을 드렸었죠. 여러분 PC에 있는 파일들을 모두 암호화 한 후, 비트코인과 같은 암호화폐를 요구하는 놈이다..라고 생각하면 충분하다고 설명드렸고요. 이 랜섬웨어에 걸리려면 '메일의 첨부파일로 온 파일이나 특정 사이트에서 다운로드 받은 파일을 실행시켜야 한다'라는 전제 조건이 붙는다는 것까지 말씀드렸습니다. 물론 드라이브 바이 다운로드(Drive-by Download)와 같은 브라우저 취약점으로 인해, 특정 사이트에 접속만 해도 랜섬웨어가 다운로드 받아지고 자동으로 실행되는 경우는 여기서 제외하겠습니다.

​

이 랜섬웨어는 보통 EXE 파일, 즉 윈도우의 실행파일로 만들어지기 때문에 단순히 메일로 EXE 파일을 첨부하여 보내면, 네이버 메일이나 지메일과 같은 메일 서버에서 일반적으로 필터링을 해주고 있죠. 특정 사이트에서 EXE 파일을 다운로드받는다 하더라도 크롬과 같은 브라우저에서 자체적으로 위험하다고 사용자에게 알려주고 차단하기 까지 합니다. 사용자가 아무리 랜섬웨어인 것을 눈치채지 못하더라도, 실행을 하지 못하도록 메일 서버나 브라우저 단에서 막아주는거죠.

​

그래서 해커는 이를 어떻게든 우회하기 위해 별별 방법을 쓰는데.. 그 중 한가지가 이 실행파일을 압축해서 실행파일임을 숨기는 겁니다. 자.. 이제 좀 딥한 내용을 말씀드리면, 메일 서버에서 이 랜섬웨어를 필터링하기 위한 방법으로는 크게 3가지가 있습니다. 첫 번째로 가장 단순하게 파일의 확장자가 ".exe"인 녀석을 확인 하는 방법이고, 두 번째는 파일의 헤더를 보고 실행파일의 시그니처(보통 "MZ" 입니다)를 탐지하는 방법이며, 세 번째는 별도로 구축한 악성코드 DB의 해시값을 확인하여 비교하는 방법입니다. 세 번째 방법의 경우 추후 설명드릴 백신의 가장 기본적인 악성코드 탐지 원리가 되며 추후 언급할 것이기 때문에 여기서는 생략하도록 하죠(두 번째 방법도 이후에 자세히 설명드릴테니 모르신다면 패스해도 됩니다).

​

사실 위의 확장자 필터링과 파일 헤더 시그니처 필터링은 일반적으로 많이 사용되는 방법입니다. 지금 우리가 사용하고 있는 윈도우 운영체제에서만 해도, 바탕화면에서 우리가 더블클릭한 파일의 확장자가 ".exe"면 실행파일 로더(loader)가 실행을 하고, 만약 한글 파일인 ".hwp"라면 한컴 프로그램이 실행을 할 것이며, ".docx"라면 워드 프로그램이 실행됩니다. 방금 위에서 해커가 이러한 단순 확장자 필터링을 우회하기 위해, 파일의 확장자가 ".exe"임을 숨기는 방법을 쓴다고 말씀드렸죠(두 번째 방법인 파일 헤더 시그니처 탐지도 마찬가지 입니다). 그럼 이를 숨기기 위한 가장 쉬운 방법은 뭘까요? 네.. 실행파일을 압축시켜버리는 겁니다. 여기서 압축이라는 개념은 추후에 설명드릴 패커(Packer), 프로텍터(Protector)와 같은 실행파일 보호 기법이 아니라, 정말 단순히 저희가 파일 용량을 줄이기 위해서 쓰는 알집(zip, egg 등)을 생각하시면 됩니다(패커, 프로텍터는 지금 모르셔도 괜찮습니다).

​

압축이라는 개념도 간단하게 설명드려보죠. 압축 자체의 개념은 간단한데 정말 쉬운 예를 들어보겠습니다. 만약 "AAAAABBB"라는 문자열을 텍스트 파일에 저장하고 이를 압축한다고 가정하면.. 텍스트 파일을 압축한 압축 파일의 데이터에는 "A5B3" 이런식으로 저장됩니다. 8바이트가 4바이트로 줄었죠? 이를 다시 압축해제하면 원래의 문자열로 돌아오는.. 즉, 용량을 줄여버리기 위한 목적으로 사용하는 방식이 압축이라고 생각하시면 무리가 없습니다. 물론 쉽게 설명드리기 위해 터무니없는 예시를 들었지만 저런식으로 다양한 압축 알고리즘이 있다고 생각하시면 될듯 합니다.

​

다시 돌아와서.. 그럼 실행파일을 압축을 하게 되면 용량이 줄어듬과 동시에 파일의 확장자가 ".exe"에서 ".zip"으로 변경되는 것을 볼 수 있습니다(마찬가지로 파일의 헤더도 압축 파일 시그니처로 바뀝니다). 이렇게 랜섬웨어를 압축해서 메일로 보내면 ".exe"를 단순히 필터링 하는 메일 서버는 우습게 우회할 수 있겠죠. 해커들이 이런 방법을 많이 쓰다보면 메일 서버에서 가만히 있을까요? 아니겠죠.. 메일 서버가 이번에는 ".zip"을 검사하기 시작합니다. 실제 네이버 메일에서는 압축파일 안에 실행파일이 있으면 가차 없이 메일을 드랍시켜 버리고 있죠. 그러면 이번에는 해커가 패스워드를 걸어서 압축파일을 만들어 버립니다. 그러면 이는 메일 서버에서 막을 수 있을까요? 아니요.. 못합니다. 기밀 문서를 패스워드 걸고 압축해서 보내는 경우도 있을테고 프라이버시 문제도 있기 때문에, 사실 메일 서버에서 패스워드를 무작위 대입(Brute Force라고도 합니다)을 하기까지는 어려울테니 여기까지는 차단하지 못하고 있는데요.

​

그래서 보통 요즘 공격 패턴이 파일명에 압축파일의 비밀번호를 써두고, 이 압축파일을 풀면 워드나 PDF 같은 문서처럼 위장한 랜섬웨어가 있는.. 이런 메일을 많이 보내고 있습니다. 자 그래서 여기까지 메일 서버에서 랜섬웨어를 필터링하는 방법, 그리고 압축의 개념과 함께 해커가 이를 우회하는 방법을 설명드렸습니다. 지금까지 설명드린 내용을 잘 이해하셨다면 아래의 기사가 쉽게 읽히실 겁니다.

 

채용시장 활기 노렸나? 입사지원서 위장 랜섬웨어, 메일로 유포

 

인용한 기사에서 나온 입사지원서 위장 메일의 경우 실제로는 기업의 인사팀을 타겟으로 하여 보낸 메일이겠지만, 이와 비슷하게 일반인들이 흥미로워할 만한 메일로 위장한 공격들도 많기 때문에 조심하셔야 합니다. 오늘 제가 설명드릴 내용은 여기까지구요. 이후에 랜섬웨어의 동작 방법이나 예방 방법 등에 대해 자세히 설명드리도록 하겠습니다. 그럼 여기서 줄이죠. 감사합니다.