[뉴스비전e 정윤수 기자] 시스템에 외부 공격자가 침입해 감염시키는 것은 대개 첨부파일 실행이나 악성 실행 파일의 클릭을 통해 이뤄진다. 

그러나 ‘파일 없는’ 공격은 파일 실행 없이 사용자가 악성 사이트로 연결되는 링크를 클릭하면 이후 몇 단계의 작업을 거쳐 사용자가 눈치 못 채도록 정보를 해커에게 전송하는 기법이다. 

최근 파일 없는 공격을 이용한 금융기관 공격과 비트코인 채굴을 위한 채굴 프로그램 유포 시도가 급증하고 있다. 백신으로도 쉽게 알아차리기 어려운 만큼 각 개인의 각별한 경각심이 필요한 실정이다. 

'발자국 없는 공격(Zero-footprint attack)', '매크로', '비멀웨어 공격(non-malware attack)' 등으로도 불리는 '파일 없는 공격(fileless attack)' 에 대한 경고의 목소리가 커지고 있다. 

◆'화이트리스팅'도 빠져나간다...'파일 없는 공격', 비중 3건중 1건 차지

이와 같은 공격은 사용자의 컴퓨터에 소프트웨어를 설치하는 행위를 수반하지 않기 때문에 바이러스 백신 도구들이 놓칠 확률이 다른 유형의 공격보다 높다. 

파일 없는 공격은 또한 승인된 애플리케이션만 시스템에 설치되도록 허용하는 화이트리스팅 (whitelisting)도 빠져 나가고 있다. 이미 설치된 응용 프로그램을 이용하거나 화이트 리스트 목록에 올라 있는 승인된 앱을 이용하기 때문이다. 

엄밀한 기준으로 보면,  파일 없는 공격이나, 발자국이 없다거나, 멀웨어 방식이 아니라는 표현은 엄밀히 말해 정확한 것은 아니다. 이런 공격은 종종 사용자의 악성 첨부파일 다운로드 행위를 노리고 있는데다가, 시스템 상의 해당 위치를 찾아 보면 흔적이 남아 있기 때문이다. 

보안 전문가들에 따르면 완전히 흔적 없는 멀웨어란 실제로는 존재하지 않으며, 비록 하드 드라이브에 자신을 설치하지 않더라도 멀웨어를 감지하는 방법이 있는 것으로 전해진다. 

안티 바이러스 프로그램들 역시 확장자가 ‘exe’ 인 파일이 설치되지 않더라도 악성 첨부 파일이나 악성 링크를 찾아낼 수 있기 때문이다.

그러나 해커들은 파일 없는 공격을 통해 자신들이 침입에 성공할 가능성이 높아진다는 것을 알고 있다. 

보안 솔루션 기업 '카본 블랙(Carbon Black)'에 따르면, 파일 없는 멀웨어 공격의 비율은 최근1~2년새 급증하고 있다. 

카본 블랙이 자사 보안 솔루션을 이용하는 기업의 실제 사례를 근거로 집계한 데이터에 따르 면, 2016년 1월에 3%였던 파일 없는 공격의 비율은 2016년 말에 13%로 크게 증가했다. 

이런 증가 추세는 2017년에도 계속되고 있으며, 현재 시스템 감염 피해건수 3건 중 하나는 파일 없는 공격과 관련된 요소를 가지고 있는 것으로 분석됐다. 

보안 프로그램의 설정을 너무 엄격히 해 놓으면 업무에 지장을 줄 수도 있어, 일부 기업들은 외부의 모든 공격을 차단하도록 설정하는 대신 경고 메시지만 띄우는 것을 선택하기 때문에, 카본 블랙은 파일 없는 공격의 영향력이 실제로는 더 크다고 보고 있다.  시스템 침입에 성공 한 공격의 절반 이상이 파일 없는 공격인 것이라는 분석도 나왔다. 

카본 블랙은 허니팟(honeypot), 즉 비정상적인 접근을 탐지하기 위해 의도적으로 설치해 둔 시 스템을 이용함으로써 공격이 나타나기를 가만히 기다렸다가 공격자가 무엇을 하려 하고 어떻 게 확산되어 가는지를 추적하는 것도 좋은 대응 방법이라고 지적했다. 

카본 블랙은 이렇게 함으로써 허니팟을 제외한 나머지 시스템 환경 전체를 확실하게 공격으로부터 보호할 수 있다고 조언했다. 

해커의 입장에서 보면 피해자의 컴퓨터에 새로운 소프트웨어가 설치되도록 하는 것은 주의를 끄는 일이기 때문에, 파일 없는 공격을 선호할 수밖에 없다. 

피해자의 시스템에 파일을 심어 놓지 않으면 보안 프로그램이 엄격히 작동하지 않기 때문에, 해커가 파일 없는 공격이나 인메모리 공격 방식을 선택한다면 기업이나 보안 회사로서는 훨씬 더 골치를 썩게 되며 해킹의 성공 가능성은 더욱 높아진다. 

이 때문에 해커들은 파일 없는 공격을 선호하게 되는데, 카본 블랙이 1,000개 이상의 고객 기업을 대상으로 자사 솔루션의 보호를 받는 250만개 이상의 컴퓨터에 대해 분석한 결과, 2016 년에 거의 모든 기업과 컴퓨터가 파일 없는 공격을 받은 것으로 나타났다. 

공격자 입장에서 보면 파일 없는 공격이라고 해서 성능이 떨어지는 것도 아니고 페이로드는 완전히 똑같기 때문에 훨씬 더 매력적인 기법이다. 

보안 기업 맥아피(McAfee) 역시 파일 없는 공격이 증가하고 있다는 점을 보고하고 있다.

맥아피에 따르면, 파일 없는 멀웨어의 상당한 비중을 차지하고 있는 매크로 멀웨어는 2015년 말 40만개에서 2017년 2분기 기준 110만개 이상으로 증가했다. 

이처럼 매크로 멀웨어가 늘어난 이유 중 하나는 파일 없는 공격 기법에 취약점 공략을 포함하는 사용하기 편한 도구들이 등장했기 때문으로 맥아피는 분석했다. 

그 결과 이전에는 주로 국가 주도의 공격을 비롯한 고급 공격자들만 사용할 수 있었던 파일 없는 공격이 지금은 민간에서도 누구나 접근할 수 있게 됐다는 설명이다. 민간에서까지 이 공격을 시도할 수 있게 되면서,  이를 위한 도구들은 금전적인 이익을 목적으로 한 공격에서 널리 사용되고 있다. 이에 따라 사이버 범죄자들은 이를 활용해 랜섬웨어를 확산시키고 있다. 

◆ 서명 기반만으로는 막기 어려워... 응용 프로그램도 같이 업데이트 해야

급증하는 파일 없는 공격에 대처하기 위해 맥아피 등 주요 바이러스 백신 제공업체들은 기존의 서명 기반 방어 기법에 더해 행위 기반(behavior-based) 분석을 속속 도입하고 있다. 

행위 기반 방어 기법이란, 가령 파워셸 접속이 이루어지는 것을 보자마자 MS 워드가 실행된다 면, 이를 매우 의심스러운 행위라 판단해 그 프로세스를 격리하거나 혹은 중지시키기로 결정함으로써 시스템을 보호하는 것을 뜻한다. 

파일 없는 공격은 이미 사용자의 컴퓨터에 설치된 안전하다고 생각되는 응용 프로그램을 이용하는 것이므로, 방어를 위해서는 애플리케이션의 보안 업데이트가 아주 중요하다. 

파일 없는 공격 도구에 포함된 취약점 공략 키트는 가령 웹 브라우저의 취약점을 희생양으로 삼아 브라우저에서 악성 코드가 실행되도록 할 수 있고, MS 워드의 매크로나 파워셸의 기능 등을 이용할 수도 있다. 

파일 없는 공격이 실행되기 위해서는 이미 설치되어 있는 소프트웨어에 존재하는 취약점이 필 요하기 때문에, 시스템 방어에 있어 가장 중요한 것은 OS 뿐만 아니라 응용 프로그램도 같이 패치 하거나 업데이트를 적용하는 것이다. 

특히, 웹 브라우저 플러그인은 패치 관리 프로세스에서 가장 간과되기 쉬운 부분이며, 파일 없는 감염 공격에서 가장 표적이 되는 취약점으로 꼽힌다. 

MS 오피스의 매크로를 활용한 공격은 매크로 기능을 해제함으로써 위축시킬 수 있다.

이 기능은 디폴트로 비활성화 되어 있으므로 만일 공격자가 감염된 문서가 열리게 하려면 사 용자가 해당 매크로를 활성화 하는데 명시적으로 동의를 해주어야 한다. 

그럼에도 일부 사람들은 별 생각 없는 동의로 감염 문서를 열고 있으며, 특히 아는 사람으로 위장함으로써 매크로 문서를 열도록 공격하는 스푸핑의 경우에 더욱 동의를 얻어내기 쉽다. 

해커들은 어도비 PDF 뷰어의 취약점이나 자바스크립트의 취약점도 표적으로 삼을 수 있으며, 피해망상이 큰 사람일수록 감염되지 않으려고 브라우저의 자바스크립트 실행을 꺼버리는 경우도 있지만, 그런 경우는 사이트 이용이 아예 불가능해진다는 또 다른 문제가 발생한다. 

최근 파일 없는 공격은 특히 금융기관이나 신용정보 기관을 대상으로 이루어지고 있어 자 칫 대규모의 치명적 피해가 발생할 가능성이 높아졌다. 

지난 9월 발생한 미국의 대형 신용정보 회사 ‘이퀴팩스(Equifax)’ 의 정보 유출 사건도 파일 없는 공격의 사례다.

이 사건은 웹 애플리케이션 개발 프레임워크인 아파치 스트럿츠(Apache Struts)의 명령어 주입 취약점을 이용한 것으로 조사됐다. 

이런 유형의 공격은 취약점이 있는 응용 프로그램에서 사용자의 입력을 제대로 검증하지 않음 으로써 일어난다. 사용자의 입력에 OS 명령이 포함되어 있는 경우가 있고, 그 결과 이 명령 어들은 취약한 애플리케이션과 동일한 권한 레벨로 피해자의 시스템에서 실행된다. 

이런 메커니즘은 안티 멀웨어 솔루션들을 완전히 사각 지대에서 공격하는 형태다.  

백신 프로그램들은 그 애플리케이션이 자연스러운 코드를 실행하고 있지 않은지 여부를 결정하기 위해 해당 애플리케이션의 실행 경로를 주목하고 있지는 않는다는 헛점을 이용하는 것이다. 

아파치 스트럿츠의 보안 패치가 올해(2017년) 3월에 공개되었으므로, 이퀴팩스가 패치를 했더라면 9월 '이퀴팩스' 정보 유출 사건은 막을 수 있었을 것이라는 지적도 제기된다. 

올해초에 파일 없는 공격이 40개 나라에서 은행, 통신사, 정부기관을 포함, 총 140개 이상의 기업을 감염시켰으며, 보안기업 카스퍼스키 랩은 감염된 기업들의 네트워크 상에 있는 리지스트리에서 악성 파워셸 스크립트를 발견했다. 

카스퍼스키에 따르면 파일 없는 공격의 탐지는 오로지 RAM, 네트워크, 리지스트리에서만 가능하다. 

카본 블랙에 따르면 또 다른 잘 알려진 파일 없는 공격의 예로는 미국 민주당 전국위원회에 대 한 해킹이 있는데, 가능한 한 오랫동안 감지되지 않고 남아 있기를 바라는 해커 입장에서 파일 없는 공격은 레이더 망에 걸리지 않게 해주는 기술이다. 

침입 감지를 회피하기 위해 파일 없는 공격 기술을 활용하는 사이버 스파이 활동도 다수 목격된다. 최근의 사례로는 중국과 북한 팀의 공격이 있었다고 전해진다. 

◆비트코인 채굴에도 악용되는 파일없는 공격...CPU 사용률 비정상적일 땐 의심해 봐야

파일 없는 공격을 부당한 금전적 이익을 얻기 위해 응용하는 새로운 시도는 비트코인을 채굴하기 위해 감염된 머신을 사용하는 것이다. 

비트코인 채굴자들은 메모리에 직접 로딩되는 채굴 프로그램 실행을 시도하고 있으며, ‘이터널 블루(Eternal Blue)’를 이용하여 기업 전체에 수십 만 개의 채굴 프로그램을 확산시키고 있다. 

'이터널 블루'는 마이크로소프트의 서버 메시지 블록(SMB) 프로토콜 구현에 존재하는 보안 취약점을 공략하는 것으로 미 국가안보국(NSA)이 개발한 것으로 알려져 있다. 

비트코인 채굴 난이도는 계속해서 높아지고 있는데 비트코인의 가치가 높아지는 속도를 훨씬 웃돌고 있으며, 이에 따라 비트코인 채굴자들은 전용 하드웨어를 구매하거나 전기 요금을 지불 해야 하기 때문에 이윤을 내는 것이 매우 어려워지고 있다. 

그러나 기업의 PC와 서버를 하이잭킹함으로써 비트코인 채굴자들은 하드웨어 구매 비용이나전기요금을 감당할 필요가 없어지게 된다. 

강력한 병렬 처리가 가능한 CPU의 사용을 최대 한도로 끌어 올릴 수 있다면 누군가의 노트북 을 사용하는 것보다 훨씬 낫다는 말도 나온다. 이에 따라 기업들은 시스템이 비트코인 채굴에 이용되고 있는 징후를 알아내기 위해 CPU 사용률이 비정상적이지 않은지 살펴볼 필요가 있다. 

◆자각하는게 급선무... 계정 무단 사용 여부 · 다른시스템과의 접촉 시작 등 면밀한 체크 필요

파일 없는 공격의 탐지와 대응은 기업의 노력만으로는 부족하다.

이용자들이 특이한 동작이 발생했을 때 즉각 알아차릴 수 있도록 평상시 경각심을 가지는 것이 중요해지고 있다. 

행동 기반 분석 시스템이 적용되어 있다고 해도 파일 없는 공격을 모두 탐지할 수 있는 것은 아니므로, 이용자들 각자가 평소와 다른 비이상적 이벤트가 언제 발생하기 시작했는지를 알아 차리는 것이 중요하다는 지적이다.

예를 들어, 나의 사용자 계정이 무단으로 사용되고 있다든지, 이전에는 통신하지 않았던 다른 시스템들과 접속을 시작하는지 등을 잘 파악해 봐야 한다. 

파일 없는 공격은 경고가 작동하기 전까지는 잡아내기 어려우며, 또한 행위 기반 알고리즘이 감시 대상으로 삼고 있지 않은 방식으로 작동한다면 알아차리기 어렵다. 공격자가 눈에 띄지 않게 신중하고 더디게 공격하는데 많은 노력을 들이는 경우에도 공격을 탐지하기란 훨씬 어려워진다. 

사람은 자신의 눈에 보이는 것을 선택하는 편향이 있기 때문에 우리가 볼 수 있는 것은 우리 눈에 쉽게 발각되는 어설픈 것들뿐이며, 상대방이 매우 은밀하고 조심스럽게 움직인다면 우리 는 그것을 볼 수 없다. 

파일 없는 공격이 위협적인 이유는 바로 그런 인간 감각의 한계를 공격자는 잘 알고 활용하는반면 희생자들은 전혀 자각하지 못하기 때문이다.