저작권 침해 사칭 메일로 위장한 랜섬웨어

랜섬웨어 최근 동향을 보면 불특정 다수를 노렸던 과거와 달리, 특정 기업의 업무용 이메일을 타겟으로 하는 공격이 많아졌습니다. 언론사에 다니는 직장인에게 저작권을 사칭했으니 확인해달라는 제목의 메일과 함께, 첨부파일에 있는 내용을 확인해 달라는 메일이 오면 열어볼 수 밖에 없겠죠. 이번 에세이에서는 저작권 침해 사칭 메일로 위장한 랜섬웨어 사례에 대해 소개할건데, 이전에 설명드린 내용을 리마인드하는 것과 더불어서 해당 사례에서 발견된 특징을 중심으로 말씀드리도록 하겠습니다.

​

랜섬웨어가 어떤 방식으로 만들어지고 동작하는지는 "파일을 암호화하는 랜섬웨어 동작 원리"에서 자세히 설명드린 적이 있었죠. 짧게 요약하면, 암호키를 생성해서 특정 확장자를 가진 파일에 대칭키 방식의 암호화를 진행 한 후, 해커의 서버로 암호키를 전송하고 사용자가 해커에게 비트코인을 주면 그 암호키를 넘겨서 다시 파일을 복호화를 시키는.. 보통 이런 과정을 거친다고 말씀드렸습니다. 그래서 결국 랜섬웨어에 걸리지 않으려면, 파일을 실행시키지 않으면 된다라고도 설명했는데요.

​

그런데 문제는 일반인들이 보통 이런 메일의 첨부파일로 오는 랜섬웨어를 잘 구분하지 못한다는데 있었죠. 이전 에세이에서 말씀드린 것처럼 기업의 인사팀을 대상으로 입사지원서로 위장한 랜섬웨어를 보낸 사례를 보셔도 마찬가지고요. 물론 네이버나 구글과 같은 서비스 기업이나 규모가 어느 정도 있는 기업 같은 경우에는 백신과 메일 보안 솔루션을 자체적으로 적용하기 때문에 랜섬웨어로 부터 안전할 겁니다. 하지만 백신이나 메일 보안 솔루션이 모든 경우를 막아주진 못하겠죠.

​

해커는 꽤 오래전부터 백신과 메일 보안 솔루션을 우회하기 위해 많은 노력을 했는데요. 백신은 악성코드를 탐지할 때 일반적으로 파일 데이터를 해시 함수로 연산한 해시값 기반의 시그니처 탐지를 진행합니다. 아직 해시 함수에 대해 설명드린적이 없는데, 이는 이후 글에서 자세히 설명드릴테니 지금은 시그니처라는 말에 포커스를 맞추시면 되겠습니다. 아무튼 백신에서는 이러한 악성코드의 해시값이 들어있는 악성코드 DB를 매번 업데이트 해주어야 하고, 이 DB에 존재하지 않는 악성코드는 탐지하지 못한다는 문제가 있죠.

​

그런데 메일 보안 솔루션도 마찬가지 입니다. "입사지원서로 위장한 랜섬웨어 공격"에서 설명드린 것처럼 기본적으로는 확장자 기반으로 필터링을 하되, 파일 헤더 시그니처(MZ)를 탐지하는 방법을 사용하고 있는데요. 해커가 이를 우회하기 위해서 EXE 파일을 zip으로 압축해서 메일 보안 솔루션을 우회했었죠. 그래서 보안 업체들에서는 메일 보안 솔루션에 zip으로 된 압축 파일을 검사하는 기능을 추가했습니다. 일단 이 zip 압축의 경우 알고리즘이 공개되어 있기도 하고 파이썬 언어만 하더라도 zipfile이라는 모듈을 지원하고 있기 때문에, zip은 쉽게 압축 해제가 가능해서 안에 있는 실행파일을 탐지할 수 있었죠.

​

이렇게 zip으로 압축을 해도 보안 솔루션에서 탐지를 하니.. 다음으로 해커가 시도해본 방법은 zip이 아닌 alz로 압축을 해보는 겁니다. alz은 저희가 압축을 해제할 때 가장 많이 사용하는 프로그램인 알집을 만든 이스트소프트 기업이 개발한 압축 알고리즘 입니다. zip과 달리 압축 알고리즘이 공개되있지 않기 때문에, 대부분의 보안 솔루션에서 alz로 압축한 파일은 검사하지 않고 건너뛰고 있죠. 즉, 랜섬웨어를 alz로 압축해서 보내면 필터링되지 않고 그대로 메일의 첨부파일에 담겨있을 겁니다. 보통 대부분의 사용자가 알집을 사용하기 때문에 alz의 압축을 풀 수 있을테고, 그러면 사용자는 별 의심 없이 랜섬웨어를 실행하는.. 해커가 노린 것이 바로 이거겠죠.

 

[긴급] 저작권 침해 사칭 메일... 열어보니 따끈따끈한 랜섬웨어가 왔어요

 

위에서는 백신이 악성코드를 탐지하는데 시그니처 기반으로 탐지하기 때문에, 알려지지 않은 악성코드는 전혀 탐지가 불가능한 것처럼 말씀드렸는데요. 그럼 사용자 PC에 설치되어 있는 백신은 새로운 악성코드에 전혀 대응이 전혀 불가능하냐..라고 물으시면 그건 또 아닙니다. 백신에서는 앞서 말한 시그니처 탐지가 아닌 행위 기반 탐지나 이상 탐지도 수행하고 있기 때문에 어느 정도 대응이 가능하죠. 문제는 백신을 무력화시키는 악성코드들인데.. 이에 대해 말씀드리려면 길어지니 이후 에세이에서 써보도록 하겠습니다. 그래서 오늘은 랜섬웨어를 alz으로 압축하는 케이스에 대해 설명드렸습니다. 이번 글은 여기서 줄이도록 하죠. 읽어주셔서 감사합니다.