이달 초 미국 FBI 덴버 지부는 무료 온라인 문서 변환기 도구를 사용해 정보를 훔치거나 개인 컴퓨터에 멀웨어를 로드하는 사기 수법이 늘어난다고 경고했다. 캐나다 보안 인식 교육 제공업체 부세론 시큐리티(Beauceron Security)의 대표 데이비드 쉽리는 “지금까지는 악성 오피스 첨부 파일을 포함한 전통적 방법이 사용됐지만, 패치되지 않은 브라우저를 통해 멀웨어를 배포하려는 시도나 원격 액세스 도구를 배포하는 트로이 목마 프로그램을 사용하는 더 효과적인 공격 방법이 퍼지고 있다”라고 말해ㅒㅆ다.
FBI는 “전 세계의 사이버 범죄자가 무료 문서 변환기나 다운로드 도구를 사용하고 있다. .doc 파일을 .pdf 파일로 변환하는 방식으로 파일을 변환해 준다고 주장하는 웹사이트가 문제가 될 수 있다. 또한 여러 개의 .jpg 파일을 하나의 .pdf 파일로 결합한다고 주장하는 사이트일 수도 있다. MP3 또는 MP4 다운로드 도구도 의심해 볼만하다”라고 말했다.
FBI는 악성 도구가 제출된 파일을 긁어내 개인 식별 정보, 은행 정보, 이메일 주소, 비밀번호를 수집할 수 있다고 밝혔다.
인포테크 리서치 그룹의 수석 연구 책임자 프레드 샤뇽은 FBI의 경고를 반영해 “온라인 문서 변환기를 사용할 때의 우려는 두 가지다. 첫째, 가장 두드러지는 것은, 변환된 파일의 무결성을 신뢰할 수 없다는 것이다. 악의적인 서비스조차도 실제로 변환 서비스를 하기는 한다”라고 말했다.
그러나 “결과로 생성된 PDF 파일에는 파일을 열 때 실행되는 자바스크립트 코드가 포함될 수 있으며, 워드나 엑셀 문서의 경우 매크로 형태의 비주얼 베이직 코드가 문서 내에 숨겨져 있을 수 있다. 엔드포인트 탐지 및 대응 도구가 악성 프로그램에 대한 방어막 역할을 할 수 있지만, 완벽하지는 않다”라고 경고했다.
두 번째는 업로드된 파일 데이터가 어떻게 악용될지 알 수 없다는 점이다. 민감하거나 기밀 정보가 포함된 파일도 있기 때문이다.
전술은 간단명료
SANS 기술 연구소의 연구 책임자 요하네스 울리히 박사는 “이런 공격은 사소한 것이다. 사용자는 코드가 파일 변환 유틸리티라고 주장하는 것에 속아 악성 코드를 실행한다. 과거 공격자는 ‘해킹된 소프트웨어’(라이선스 확인 기능이 제거된 소프트웨어) 또는 게임 치트 등을 사용했다”라고 설명했다.
사용자는 일반적으로 구글에서 워드 문서를 PDF로 변환하는 도구를 검색한다. 악의적 공격자는 구글 유료 광고를 게시하거나 검색 순위를 조작해 악성 도구가 검색 결과 목록의 상단에 표시되도록 한다. 경우에 따라 스택오버플로와 같은 웹사이트에서 악성 도구를 광고하는 내용의 답변을 게시하기도 한다.
피해자가 프로그램이나 파일을 열면 악성 코드가 실행된다. 프로그램이 종료되고 깨진 파일로 나타날 수도 있다. 실제로는 악의적인 행동을 수행하는 것이다.
FBI 덴버 지부의 홍보 담당관 비키 미고야는 이메일에서 “사기꾼은 합법적인 URL을 모방하려고 한다. 그래서 한 글자만 바꾸거나 ‘CO’ 대신 ‘INC’를 사용한다. 과거 검색 엔진에 ‘무료 온라인 파일 변환기’를 입력했던 사용자는 취약하다. 검색 결과에 사용되는 알고리즘에 사기인 유료 검색 결과가 포함되는 경우가 많기 때문”이라고 설명했다.
미고야는 “지난 달에 덴버의 한 공공 기관이 이 사기와 그에 뒤이은 랜섬웨어 공격에 당했다”고 말했다. 또한 “사건의 수나 처음 발생한 시기를 포함한 다른 세부 정보를 공개하면 수법이 효과가 있다는 것을 사기꾼이 알게 되고, 수사기관이 어떤 사기를 발견했는지 알게 된다”라며 자세한 정보 제공을 거부했다.
로고만 보고 덥석 쓰지 말자
사이버보안 소프트웨어 및 컨설팅 회사인 엠시소프트의 위협 애널리스트 루크 코놀리는 FBI가 경고를 발령했다는 사실은 문제가 상당히 널리 퍼져 있다는 것을 의미하며, 심각하게 받아들여야 한다는 신호라고 말했다.
사용자의 방어책으로는 신뢰할 수 있는 업체의 서비스만 이용하고, 파일을 열기 전에 엔드포인트 보호 기능으로 외부 소스의 파일을 검사하고, 웹 보호 기능을 활용해 악성 사이트 액세스를 차단하고, 정보를 제공한다는 사이트의 URL을 주의 깊게 검사하는 것 등이 있다.
코놀리는 “로고만 보고 믿지 말자. 사기꾼은 믿을 수 있을 것 같은 도메인 이름을 사용하지만, 언뜻 보기에는 ‘rn’이 ‘m’처럼 보이도록 조합하는 등 외관과는 다른 속성을 가지고 있다”라고 말했다.
IT는 위험을 완화할 수 있다
쉽리는 IT가 근본적인 문제를 해결함으로써 위험을 완화하는 데 도움이 될 수 있다며 “파일 변환 같은 비즈니스 마찰의 고통 지점을 이해하면 동료 직원과의 관계를 변화시킬 수 있고, IT 및 보안팀을 두려움의 대상이 아니라 안전하게 업무를 수행하는 데 도움이 되는 유용한 노하우를 제공하는 친절한 부서로 바꿀 수 있다”라고 조언했다.
가장 쉬운 방법은 일반 사용자가 승인되지 않은 출처에서 소프트웨어를 설치할 수 없도록 하고, 보안팀이 브라우저와 운영체제가 최신 버전인지 확인하는 것이다. 그러나 쉽리는 “업무 때문에 필요한데 도구가 없다면 직원이 통제를 우회하려고 할 것이다. 개인 계정으로 파일을 이메일로 보내고 보안되지 않은 개인 기기로 파일 변환을 할 수 있다”라고 말했다.
쉽리는 이러한 위험을 줄이는 유일한 방법은 사용자를 교육하고, 업무 수행에 필요한 도구를 제공하는 것이라고 덧붙였다.
울리히도 사용자가 다운로드하는 소스에 주의를 기울여야 하며, 가능하면 공식 앱스토어를 이용해야 한다고 동의했다. 그리고 “기업 보안팀도 검증된 도구와 저장소를 제공해 사용자를 지원해야 한다”라고 말했다. 멀웨어 방지 프로그램이 도움이 될 수 있지만, 제대로 작동하지 않을 경우도 고려해야 한다.
dl-itworldkorea@foundryco.com
Paul Barker editor@itworld.co.kr
저작권자 한국IDG & ITWorld, 무단 전재 및 재배포 금지
이 기사의 카테고리는 언론사의 분류를 따릅니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.
