윈도 생태계 겨냥한 대규모 악성 캠페인 주의보...아무 이메일 열면 안 돼
- 이메일로 악성 HTML 파일 전파돼
- 다운로드 버튼이 핵심...누르면 멀웨어 감염
- HTML이 파워셸 발동시켜...파워셸 완화가 중요
윈도 사용자들을 겨냥한 대규모 악성코드 유포 캠페인이 발견됐다. 보안 업체 포티넷(Fortinet)에서 발견해 세상에 알린 것으로, 이 공격에 당할 경우 피해자는 시스템 권한을 공격자에게 완전히 빼앗길 수 있다고 한다. 이 캠페인은 전 세계적으로, 거의 모든 산업군을 대상으로 활발히 진행되고 있으며, 단 2주 만에 활동량이 2배로 증가했을 정도라고 포티넷은 경고했다.
위험한 캠페인
이 캠페인의 위험성은 공격자의 목적이 그저 ‘로그인 정보’ 일부 훔치는 것이 아니라는 데 있다. “오히려 기업 네트워크에 침투해 멀웨어를 몰래 설치함으로써 장기간 공격자가 드나들면서 여러 가지 악성 행위를 하기 위한 기반을 마련하는 게 공격자의 진짜 목표입니다. 거의 APT 수준의 위협을 가하려는 것입니다.”
공격의 시작은 이메일이라고 한다. “주로 ‘부재중 전화’나 ‘구매 주문서’라는 제목을 가진 피싱 메일이 피해자에게 전송됩니다. 메일에는 악성 HTML 파일이 첨부돼 있는데, 저희가 발견한 샘플의 경우 이름이 VN0001210000200.html와 採購訂單.html였습니다. 열면 진짜와 똑같이 생긴 웹사이트로 우회 접속이 됩니다. 실제 회사 이메일 도메인과 로고까지 표시되기 때문에 눈으로 악성 여부를 분별하는 건 매우 힘든 일입니다.”
가짜 페이지의 핵심은 ‘다운로드’ 버튼이다. 피해자가 이 버튼을 누르는 게 공격자들에게 있어서는 가장 중요하다. 피해자가 이것을 누르면 악성 자바스크립트 파일이 피해자 시스템으로 전달되며, 이 스크립트는 피해자 컴퓨터에서 다음 단계에 사용될 악성코드를 다운로드 해 설치한다. “이 자바스크립트는 업크립터(UpCrypter)라는 드로퍼였습니다. 이전부터 여러 종류의 원격 접근 도구(RAT)를 유포시키는 것으로 악명이 높은 멀웨어입니다.”
이번 캠페인에서 업크립터가 드롭한 RAT는 여러 가지인데, 현재까지 포티넷이 발견한 건 디씨랫(DCRat), 퓨어HVNC(PureHVNC), 바빌론랫(Babylon RAT)이라고 한다. 대동소이한 RAT들이며, 공격자가 피해자 시스템 내에서 여러 가지 행위들을 할 수 있게 해 주는 멀웨어다.
드로퍼인 유크립터의 경우, 여러 가지 탐지 기술을 회피하도록 설계되어 있다는 게 특징이다. “와이어샤크(Wireshart)나 애니런(ANY.RUN)과 같은 보안 도구로 분석되고 있는 건 아닌지, 가상 환경에서 실행되고 있는지 등을 확인하고 나서 악성 기능을 실행합니다. 만약 수상한 낌새가 탐지된다면 곧바로 모든 행동을 중단합니다. 어떤 경우 시스템 재시작을 강제하기도 합니다.”
그 외에 악성코드를 JPG 이미지 파일에 숨기는 기능도 가지고 있다고 포티넷 측은 경고했다. “그리고 그 악성코드를 지속적으로 실행시키기 위해 윈도 레지스트리에 키를 추가하기도 합니다. 악성 행위에 대한 공격자의 강력한 의지가 드러납니다.”
이런 여러 가지 이유 때문에 포티넷은 이번 피싱 캠페인이 예사롭지 않다고 판단하고 있다. “개인이나 기업 모두 경각심을 가지고 대응해야 할 것입니다. 강력한 이메일 필터를 적용할 뿐만 아니라 이번 캠페인이 어떤 식으로 진행되며, 어떤 피해가 일어날 수 있는지 교육하는 것도 중요합니다. 특히 이메일로 들어온 첨부파일에 주의할 것을 당부해야 합니다.”
포티넷은 “이번 캠페인에서처럼 가짜 송장을 활용한 피싱 수법은 공격자들 사이에서 항상 인기가 높다”며 “잘 통하기 때문”이라고 짚었다. “이메일을 통해 거래처와 송장을 주고받는 것이 일상화 되어 있는 한, 이 방법은 영원히 통할 것입니다. 이러한 거래 방식을 통째로 바꿀 수 없다면, 송장을 안전히 주고받는 방법이 좀 더 보편화 되어야 합니다.”
그러면서 포티넷은 “이번 캠페인에 사용된 악성 HTML의 경우, 피해자가 클릭하면 파워셸로 연결된다”는 점을 지적하며 “모든 사용자가 파워셸 접근 권한을 가질 필요가 없다는 걸 기억해 조직 차원에서 권한 설정을 알맞게 해줘야 한다”고 강조했다. “특히 아웃룩과 같은 이메일 솔루션을 통해 파워셸을 실행시킬 수 있는 권한을 모두가 가지고 있어야 하는 건 아닙니다.”
파워셸, 왜 사용하는가
파워셸은 최근 들어 보안 사건과 사고 소식에 더 많이 이름을 올리는 것처럼 보일 정도다. MS가 개발해 윈도에 이식한, 정상적이며 합법적인 도구인데, 해커들이 자신들의 목적을 달성하는 데 더 활발히 사용하고 있기 때문이다. 원래 윈도에는 cmd.exe가 있었는데, 이 오래된 프로그램을 대체하기 위해 마련된 게 바로 이 파워셸로, 관리 작업을 보다 쉽게 해 준다.
“윈도 관리(Windows Administration)라는 건 예전부터 그래픽으로 만들어진 인터페이스(GUI)를 통해 실행됐습니다. 한 관리자가 한두 대 컴퓨터를 이런 식으로 관리한다면 보기도 좋고 직관적이기도 하죠. 하지만 대기업 관리자가 수천 대 컴퓨터를 GUI로 관리한다는 건 꽤나 불편하고 힘든 일입니다. 파워셸의 관리 및 자동화 기능(스크립팅 기능)이 이 문제를 해결해주며, 따라서 대형 조직의 윈도 기반 서버 관리자들은 파워셸을 즐겨 사용합니다.” 포티넷의 설명이다
그렇다는 건 파워셸이 컴퓨터나 윈도 OS에 관한 지식을 잘 갖춘 사람들 사이에서나 사용되지, 일반 컴퓨터 사용자들이 파워셸을 쓸 일은 거의 없다는 의미가 된다. 하지만 보통 윈도에서는 누구나 파워셸을 사용할 수 있도록 설정돼 있다. 쓸 일이 거의 없는 강력한 도구 하나가, 사용자도 모르게 활성화 되어 있는 경우가 태반이라는 것이고, 해커들이 이 상황을 악용하고 있다는 의미가 된다.
그래서 일부 보안 전문가들은 일반 사용자들을 위한 워크스테이션의 경우, 파워셸을 비활성화 하는 게 보안 측면에서 도움이 될 수 있다고 조언한다. 하지만 이는 논란거리다. 일부 윈도 및 시스템 기능들은 물론 보안 솔루션들까지도 파워셸을 활용하기 때문이다. 즉 사용자가 직접 파워셸을 실행시켜 사용하지 않을 뿐 여러 기능들과 연결돼 있다는 것이다. 이런 상태에서 파워셸을 비활성화시키면 예상치 못한 오류를 경험하게 된다.
따라서 파워셸을 비활성화시키는 것보다 ‘온건한’ 방법들이 제안되기도 한다.
1) 제한된 언어 모드(Constrained Language Mode)를 활성화 한다. 이렇게 하면 파워셸 스크립트가 실행시킬 수 있는 것들이 제한된다.
2) 윈도 디펜더에 탑재돼 있는 ‘안티멀웨어 스캔 인터페이스(AMSI)’를 사용해 파워셸 스크립트를 스캔한다.
3) 로그를 점검함으로써 파워셸 활용 현황을 주기적으로 감사한다.
Related Materials
- Global Threat Landscape Report (FortiGuard Labs): Fortinet이 발견한 전 세계 피싱 캠페인, Agent Tesla 등 RAT과 연계된 최신 기법 사례 포함, 2024년
- FortiGuard Outbreak Alerts: Fortinet이 업계·기관 대상 표적 피싱, 다양한 공격 템플릿 및 Region별 피해 경고, 2024년
- Phishing Campaign Targeting Companies via UpCrypter: FortiGuard 분석팀이 기업·기관 타깃 대형 피싱 급증, UpCrypter 통한 RAT 배포 방법 설명, 2025년
- FortiGuard Threat and Incident Notifications: 2023~2024년 Fortinet 공식 보고서, Pikabot·스미싱 등 다종 피싱 악성코드와 캠페인 경고, 2024년
문가용 기자
CheifEditor
