파워쉘과 WMI 주의! 파일 없는 공격이 늘어난다

멀웨어 탐지 기술 회피하는 최신 유행 기술, 파일 없애기
파워쉘과 WMI 통한 공격이 제일 인기 높아...2017년도 계속될 것

[보안뉴스 문가용 기자] 멀웨어 제작자들은 자신들이 만든 파일을 숨기기 위해 온갖 방법들을 동원해왔고, 보안 전문가들 역시 이 숨겨진 독성을 찾아내려고 온갖 수단들을 활용해왔다. 그런데 올해 멀웨어 제작자들은 기존의 숨바꼭질 판도를 뒤집는 발상을 하기 시작했다. 바로 파일 자체를 없애는 것이다. 애초에 없는 것이니, 숨길 필요도, 찾아낼 수도 없다는 것이다.

▲ 흔적, 참으로 촌스러운 것...

물론 ‘파일이 없는 멀웨어’라는 게 2016년에 혜성처럼 등장한 혁신적인 개념은 아니다. 다만 올해 이 방법을 가다듬고 완성시켜 실제로 사용하는 해커들이 급증했다는 게 특이한 일인 것이다. 최근 사이버 보안 업체인 카본 블랙(Carbon Black)은 “2016년 1사분기에 비해 4사분기에만 파일 없는 해킹 공격이 33% 증가했다”는 연구 결과를 발표한 바 있다. 90일 동안 기업의 1/3이 파일 없는 해킹 공격에 당할 수 있다는 뜻이라고 카본 블랙은 설명했다.

파일 없이 공격을 감행하는 방법은 한두 개가 아니다. 지난 1년 동안 다양한 방법들이 개발되고 또 발견되었다. 그중 가장 최신 방법이라고 볼 수 있는 건, 파워쉘(PowerShell)과 윈도우 관리 도구(Windows Management Instrumentation, WMI)를 악용하는 것이다. 카본 블랙에 따르면 이 두 가지 방법을 활용한 ‘파일 없는 공격’은 2016년 2사분기에만 90% 증가했으며, 현재까지도 계속해서 최고치를 갱신하는 중이라고 한다. 올해 미국 대선 기간 내 발생했던 민주당 해킹 사건 역시 파워쉘과 윈도우 관리 도구를 활용한 파일 없는 공격이었다.

파일 없는 공격은 1회성 공격에도 활용되지만, 추가 공격을 위한 최초 침투용으로 활용되기도 한다. 즉 그 자체로도 치명적인 공격이 될 수도 있고, 추가 멀웨어가 잔뜩 시스템과 네트워크로 들어오도록 하는 계기가 되기도 한다는 것. 그렇기에 위 민주당 사건에서처럼 사회 여러 곳에서 파일 없는 공격에 대한 소식들이 들려오고 있다. 확실한 증가 추세라는 뜻이다.

최근 보안 업체인 프루프포인트(Proofpoint)는 지난 11월에 발생한 오거스트(August) 멀웨어 공격을 분석하며 “오거스트 공격자들은 오피스 문서의 매크로 기능을 가지고 파워쉘에 침투해 오거스트를 바이트 어레이 형태로 로딩하는 데에 성공했다”고 밝히기도 했다. “그렇기 때문에 게이트웨이에서나 엔드포인트에서나 탐지가 매우 어렵습니다.”

2017년에도 이 트렌드는 계속 될 것이라고 전문가들은 보고 있다. 보안 전문가 커뮤니티가 아직은 새로운 멀웨어 찾기에 관심이 높기 때문이다. 실제 낯선 이름의 멀웨어가 등장했다는 소식의 뉴스들이 조회수가 가장 높은 편이다. 시만텍(Symantec)의 전문가들은 “앞으로 파일 없이 공격하는 방법들이 더 고차원적으로 발견될 것이고, 이에 대한 대비를 서둘러야 한다”고 목소리를 내고 있다.

“파일이 없는 공격은 멀웨어와 시그널에 초점이 맞춰져 있는 현대 방지 및 탐지 기술의 허점을 노리는 것이므로 발견이 매우 어렵습니다.” 시만텍의 CSO인 브라이언 케년(Brian Kenyon)의 설명이다. “2016년 내내 증가 추세를 보였던 이 공격 수법이, 2017년엔 더 가속화될 것입니다. 저희 보안 담당자들로서는 파워쉘에 집중해야 할 것입니다.”
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)