Security

‘은폐’가 핵심인 요즘 공격자들, LotL마저 진화시켜

문가용 기자

Published: 13:24, 13 Sep 2025 (Updated: 20:11, 05 Oct 2025)

💡

Editor's Pick
- 사이버 공격자들의 주안점, 흔적 감추기
- 가장 은밀한 공격인 LotL마저 더 발전시켜
- SVG 파일 악용 사례 늘어나고, 룸마스틸러 인기 올라가고

사이버 공격자들의 은폐 실력이 나날이 좋아지고 있다. 피해자 시스템에 설치되어 있는 유틸리티와 자원을 있는 그대로 공격에 활용하는 전술인 LotL(Living-off-the-Land) 자체도 변화하는 분위기라고 보안 업체 HP울프(HP Wolf)가 공개했다. 이 때문에 보안팀들이 위협 요소를 일찌감치 발견해 처리하는 게 점점 어려운 일이 되어가고 있다고 한다.

LotL은 ‘자급자족’이라는 뜻의 ‘living off the land’에서 온 말이다. 공격자들은 본래 자신들의 목적에 맞게 멀웨어나 해킹 도구를 설치하거나 피해자 데이터를 조작하는 등 공격 대상이 되는 시스템을 변경시켜 왔다. 하지만 이 LotL이 점점 확산되면서 이런 기존 문법이 파괴되고 있다. 원래 있던 도구들을 공격에 활용하는 것이니, 보안 솔루션들 입장에서는 합법적 사용자의 행동인지 외부자의 소행인지 구분할 수 없게 되었다. 아직 현존하는 보안 시스템으로서는 LotL을 효과적으로 방어하기 어렵다.

그런데 그 LotL이 벌써 진화를 시작했다는 게 이번 HP울프 측의 설명이다. “가뜩이나 눈에 띄지 않는 게 LotL인데, 거기에다가 이미지처럼 눈에 덜 띄는 파일 형식을 공격에 이용하기까지 합니다. 또한 정식 백도어나 트로이목마를 심는 대신 가벼운 스크립트 하나로 비슷한 효과를 내기도 합니다. 더 가볍게, 더 빠르게, 더 은밀하게 변화하고 있는 게 지금 공격자들의 패턴입니다.”

실제 사례
HP울프가 분석한 한 사례에서 공격자들은 여러 도구들을 연쇄적으로 사용해 엑스웜(XWorm)이라는 악성코드를 심었다. “엑스웜 페이로드는 신뢰도가 높은 한 웹사이트에 이미지 형태로 호스팅 되어 있었습니다. ‘신뢰도’와 ‘이미지 파일’로 잘 위장돼 있었죠. 피해자 시스템에서는 이 이미지가 파워셸로 디코딩 됐고, 디코딩된 코드는 MS빌드(MSBuild)를 통해 실행됐습니다. 파워셸과 MS빌드, 전부 합법적이며 정상적인 도구들입니다.”

파워셸과 MS빌드 모두 LotL 전술에서 곧잘 사용되는 유틸리티다. 위 사례의 핵심은 ‘이미지’라고 할 수 있다. 이미지에 악성코드를 숨기는 스테가노그래피 공격 기술 자체는 새로운 게 아니지만, 그것이 LotL과 접목된 사례는 그리 많지 않다. 하지만 현재는 증가 추세를 보인다. “이 공격은 악성 첨부파일이 포함된 피싱 메일로부터 시작됐습니다. 이 때 악성 파일은 .chm 포맷이었습니다. HTML 도움말 파일이죠. 윈도 애플리케이션 사용과 관련하여 도움을 얻고자 할 때 자주 전달되는 형태의 파일입니다. 이를 아는 사용자라면 .chm 파일을 보고 의심하지 않습니다.”

‘이미지’라고 하니 생각나는 SVG 파일
이미지 파일을 이용하는 공격법에서도 변화들이 목격되고 있다고 HP울프는 밝혔다. SVG 파일을 악용하는 사례가 빈도 높게 눈에 띄기 시작한 것이다. “SVG는 벡터 기반 이미지를 컴퓨터에 그리기 위해 텍스트로 구성된 지시문을 포함하고 있습니다. 약간은 HTML 문서처럼 동작하기도 합니다. 그게 공격자들에게 매우 유용하게 작용하는 것이죠. 악성 자바스크립트 같은 손쉽게 삽입해 제어할 수 있으니까요.”

HP울프가 언급한 한 실제 사례에서 공격자들은 매우 작은 용량의 SVG 파일은 마련해 공격에 활용했다고 한다. “이 파일을 브라우저에서 열면 어도비 아크로뱃 리더의 인터페이스를 모방한 화면이 나타나며, 가짜 문서 업로드 애니메이션까지 등장합니다. 실제 문서가 로딩되는 것처럼 보일 수밖에 없습니다. 사용자는 ‘내가 정상적인 웹 애플리케이션을 열었다’고 믿게 됩니다.”

이 ‘가짜 로딩’이 끝나면 사용자에게 메시지가 하나 뜬다. 문서를 다운로드 해야 한다는 내용이다. 사용자가 이 버튼을 누르면 배경에서는 또 다른 URL로부터 집(zip) 아카이브 하나가 다운로드 된다. 이 압축파일 안에는 악성 자바스크립트가 포함돼 있으며, 이를 통해 공격자는 피해자 시스템의 기능 일부를 직접 제어할 수 있게 되었다고 한다.

룸마스틸러(Lumma Stealer)
이런 ‘은밀한 공격’이 발전하는 이유는 무엇일까? 해커들의 공격 목표 중 ‘정보 탈취’가 상당한 비중을 차지하고 있기 때문이다. 돈을 노리는 공격자도, 핵티비스트들도, 심지어 시스템을 마비시키는 디도스 공격자나 디스크 삭제자들 모두 일단 정보 탈취 단계를 거치는 게 최근 트렌드다. 정보를 탈취해 피해자 상황과 환경을 파악한 뒤 보다 정밀한 공격을 수행하기 위해서다. 그만큼 어중간한 공격은 방어할 수 있는 수준에 올라왔다는 의미도 된다.

‘정보 탈취’에 대한 열의가 드러나는 또 다른 지점은 다크웹이다. 암시장에서 정보 탈취형 도구들이 불티나게 팔리고 있기 때문이다. 그 중에서도 룸마스틸러(Lumma Stealer)의 인기가 심상치 않다고 HP울프는 짚는다. “공격자들은 룸마스틸러를 피싱 이메일 내 IMG 아카이브에 포함시켜 유포하기도 했습니다. 이 때문에 탐지가 쉽지 않았던 게 지난 2사분기입니다.”

피해자 입장에서는 이미지를 다운로드 받아 클릭했을 뿐인데, 자기도 모르게 룸마스틸러에 감염됐다. “이미지 클릭이 곧바로 룸마스틸러 실행으로 이어진 건 아닙니다. 여러 단계를 거칩니다. 이미지 클릭은 파워셸 명령을 발동시키고, 이 명령을 통해 또 다른 URL에서 파일이 추가로 다운로드 됩니다. 그리고 윈도 인스톨러라는 정상 도구를 통해 복호화 되고, 결국 룸마스틸러가 설치되는 방식입니다. 이렇게 과정을 복잡하게 꼬으니 분석이 쉽지 않습니다.”