블로그

지란지교시큐리티의 생생한 최신 소식과 알림을 전달합니다.

[새니 이야기: 4화] 공공기관이 랜섬웨어 유포지가 될 수 있다?!
새니2022-12-09

안녕하세요 랜섬웨어 예방 전문가 새니에요 ('')

 

 

 

여러분은 랜섬웨어가 어떻게 들어온다고 생각하시나요?

인터넷에서 파일 다운로드 하다가? 고객민원 게시글에 첨부된 링크를 클릭해서? 

임직원들의 보안 인식이 높아지면서 인터넷에서 다운로드 받은 파일이 실행파일이면 의심하고, PC에 기본적으로 설치된 백신이 악성파일를 차단해버려 사용자 PC에 직접 유입되지 않습니다.

요즘 랜섬웨어는 이런 보안 기술을 우회하기 위해 실행파일(.exe)의 형태가 아닌 임직원에게 친숙한 비즈니스 문서 형태로 변화하여 접근하는 추세입니다. 엑셀, 한글, 파워포인트, PDF 같은 일반적인 문서파일 말이죠!

 

 

오늘은 공공기관에서 발생했던 공격사례를 통해 비즈니스 파일로 위장한 악성코드가 어떻게 전파되는지 알아보고, 이러한 공격에 대응하는 방법에 대해 소개해드릴게요!

 

 

▣ 공공기관 웹사이트를 이용한 악성코드 유포 사례

내용 이해를 돕기 위해 각색된 내용이 포함되어 있습니다.

 

 

CASE 1. 대민지원 신청을 위장한 공격

 

[그림 1] 대민지원 온라인 신청 화면

 

 

코로나-19가 전국적으로 발생하고 정부에서는 격리입원자의 이탈 예방을 위하여 생활지원비를 제공했는데요, 해당 지원을 신청하기 위해서 몇 가지 서류가 제출되어져야 합니다.

 

이 때 시민으로 위장한 악의적인 공격자가 온라인 신청을 접수하였고, 제출서류에 ‘생활지원비 신청서.hwp’ 파일을 첨부하였습니다. 담당자는 당연하게 시민의 접수로 판단하여 신속한 지급처리를 위해 파일을 실행하였는데요, 사실 이 파일은 OLE(Object Linking and Embedding)를 이용한 문서로 클릭 시 객체에 삽입된 악성코드가 실행되는 악성파일입니다.

 

이러한 파일을 아무런 의심 없이 확인한 담당자는 이유도 모른채 랜섬웨어에 걸리고, 기관의 시스템까지 공격이 확대되어 정부지원사업을 신청한 시민들이 제출한 중요한 개인정보를 탈취당하는 큰 피해를 입었습니다.

 

 

 

CASE 2. 자료게시판을 통한 악성파일 유포 공격

 

[그림 2] 정보공유 게시판에 첨부될 수 있는 악성문서

 

 

위 사례에서는 기관이 피해를 입었다면 이번엔 기관의 게시판을 통해 정보를 공유하는 개인들까지 보안공격 피해를 입은 사례를 소개해드리겠습니다.

 

 

개인이 소유한 정보를 공유하여 선한 영향력을 끼칠 수 있는 장으로 만들어진 정보공유 게시판에 수업 활동자료가 올라와 있습니다. 다른 사용자가 이 자료를 수업에 활용하기 위해 다운로드 받았고 실행하자 랜섬웨어에 걸렸습니다. 이 자료 역시 VBA(Visual Basic for Application)를 통해 랜섬웨어를 유포하는 악성파일이었습니다. 자료안에 들어있는 버튼을 클릭하게 되면 자동으로 랜섬웨어 다운로드 경로를 호출하는 코드가 삽입되어 있지만 문서에 보이는 내용만으로는 이러한 공격이 은닉되어 있다는 사실을 알 수 없습니다.

 

 

공공기관에서 운영하는 게시판이기에 신뢰할 수 있었지만 게시자가 악의적인 공격자일 경우 공공기관의 게시판은 랜섬웨어의 유포지로 전락하고 사용자는 속수무책으로 당할 수밖에 없습니다.

 

 

▣ 게시판을 통한 악성코드 유포 공격 대응 방법

 

[그림 3] 게시판에 등록되는 파일에 대한 CDR 적용 구성도(웹 서버)

 

 

문서를 위장하여 악성코드를 유포하는 공격에 대응하는 방법으로 'CDR(Content Disarm and Reconstruction)'이 탁월합니다. 

 

 

CDR은 제로트러스트 기반 보안 기술로 비즈니스 문서형태의 파일은 모두 직접 검증하여 안전한 파일로 변환하여 사용자에게 전달됩니다. 안전한 파일로 변환되는 과정을 간략히 소개해드리면, 지정된 구간으로 유입된 파일의 구조를 분석하여 보안 위협이 될 수 있는 액티브콘텐츠 영역은 모두 제거하는 무해화 과정을 거친 후 다시 재조합하는 프로세스로 진행됩니다. 

 

정상문서처럼 보이지만 보이지않는 곳에 악성코드를 숨겨놓는 악성코드 은닉 문서 공격으로부터 모든 문서를 안전한 형태로 재구성하는 새니톡스로 문서형 악성코드를 대응할 수 있습니다.

 

게시판을 대상으로 하는 업로드파일 위장 공격은 많은 대중에게 노출되는 영역이기 때문에 다양한 형태의 위협으로 확장될 수 있으므로 하나 이상의 게시판이 운영하고 있는 공공기관에서는 증가하는 문서위장 공격에 대한 예방이 꼭 필요합니다.

 

문서로 위장한 악성코드의 공격 범위가 점차 확대되고 있습니다. 메일을 통한 공격이 주를 이뤘던 첨부파일 위장 공격이 이제 홈페이지 게시판을 통해 업로드/다운로드되는 구간까지 확대되었습니다. 이처럼 문서파일이 유통되는 모든 포인트가 악성문서의 공격지가 될 수 있으므로 공격 가능한 구간은 점차 확대될 것으로 예상됩니다.

 

문서가 통하는 구간이라면 이제 선제대응해야 합니다.

 

다음 시간에는 ‘제로트러스트(Zero-Trust)’에 대한 이야기를 준비해 볼 예정이니 구독과 이웃신청 부탁드려요 ('')

 

 

 

새니톡스(SaniTOX)의 더 자세한 내용은 아래 링크에서 확인하세요!

▶ 랜섬웨어 대응 솔루션 새니톡스 자세히 보기

 

 

[출처]

최민지, 신강식, 정동재. (2021). 문서형 악성코드 탐지를 위한 HWP 포맷 취약점 분석. 한국정보과학회 학술발표논문집, 1188-1190.

손승호, 조호묵, 정동재. (2022). MS-Word 문서형 매크로 악성코드의 효율적 탐지를 위한 포맷 분석 및 위협 인자 추출 방안. 한국정보과학회 학술발표논문집, 1321-1323.

 

 

#공공기관랜섬웨어유포 #공공기관악성코드대응 #공공기관보안솔루션 #CDR #악성코드 #랜섬웨어 예방 솔루션 #공공기관   #게시판위장파일   #업로드문서   #게시판 공격

  • 새니
    새니톡스 콘텐츠 요정
  • 노는 게 제일 좋은! 궁금한 건 못 참아서 끝까지 알아내고! 그 지식을 다양한 시각을 가진 사람들과 나누는 것을 좋아하는 지란인

최신글

  • 마케터 제이스가 전하는 '클라우드 메일게이트 출시 이야기'
  • 안녕하세요, 지란지교시큐리티 마케터 제이스입니다. 바로 지난 달이죠, 클라우드 메일게이트(Cloud MailGATE)가 출시되었습니다. 클라우드 메일게이트는 클라우드 메일 플랫폼을 이용하는 기업 대상으로 수/발신메일에 대한 안전한 메일 보안 정책을 설정할 수 있는 기업용 클라우드 이메일 통합보안 서비스입니다.
  • 제이스2023-05-15
  • 2023 상반기 결산, 지란지교시큐리티 우리들 이야기!
  • 안녕하세요, 마케터 제이스 입니다. 2023년의 절반이 지났어요! 모두들 지난 상반기, 연초에 계획하시던 일들 잘 지키셨나요? 브랜딩기획실에서 준비한 지란지교시큐리티 상반기 결산 이야기! 회사가 어떤 일을 했고 대외적으로 어떤 활동을 했는지 함께 나누고 싶어요.
  • 제이스2023-07-25