개인정보 동의서인 줄 알았던 바로가기 파일의 정체는?

최근 ‘개인정보 수집이용 동의서’를 사칭한 악성 파일이 유포된 정황이 확인됐다. 공격자는 업무 문서로 착각하기 쉬운 파일명을 사용해 사용자의 실행을 유도한다. 해당 파일은 실제 문서가 아닌 바로가기 파일로, 실행 시 내부에 숨겨진 명령을 통해 PC 정보를 수집하고 추가 악성 행위로 이어질 수 있다.

이번 글에서는 해당 악성 LNK 파일의 동작 방식과 안전하게 대응하는 방법을 살펴보자.

 

이번 사례에서 LNK 파일 내부에는 난독화된 파워셸(PowerShell) 스크립트가 포함돼 있다. 사용자가 파일을 실행하면 해당 스크립트가 동작하고, 외부에 있는 추가 악성 파워셸 스크립트를 불러와 파일리스(Fileless) 방식으로 실행한다. 파일리스 방식은 악성 파일을 PC에 직접 저장하지 않고 메모리에서 실행하는 방식으로, 사용자가 감염 사실을 알아차리기 어렵게 만든다.

[그림 1] LNK 파일 내에 존재하는 파워셸 스크립트

 

추가 스크립트 생성과 지속성 확보

공격자가 외부 스크립트 내용을 여러 차례 변형한 정황도 확인됐다. 현재까지 확인된 6종의 코드는 서로 상이하지만, 난독화된 파워셸을 복호화한 뒤 실행하는 방식은 동일하다.

악성 LNK 파일이 실행되면 사용자 PC의 특정 경로에 추가 파워셸 스크립트가 생성된다. 이 중 하나는 외부 페이로드를 내려받는 다운로더이며, 다른 하나는 해당 다운로더를 실행하는 로더 역할을 한다.

[그림 2] 추가로 실행되는 파워셸 스크립트_1

[그림 3] 추가로 실행되는 파워셸 스크립트_2

 

이후 공격자는 윈도우 작업 스케줄러를 등록해 로더 스크립트가 반복 실행되도록 설정한다. 작업 스케줄러는 정해진 시간이나 조건에 따라 프로그램을 자동 실행하는 정상 기능이지만, 공격자가 악용하면 PC를 재부팅한 뒤에도 악성 행위가 다시 실행될 수 있다.

또한 악성 LNK 파일은 사용자가 의심하지 않도록 내부에 포함된 정상 문서 형태의 디코이 파일을 생성하고 실행한다. 사용자는 문서가 정상적으로 열린 것처럼 보이기 때문에 감염 사실을 알아차리기 어렵다. 이후 원본 LNK 파일은 삭제돼 흔적을 확인할 수 없다.

[그림 4] 정상 디코이 문서

 

다운로드 경로에서 확인된 추가 악성 파일

확인된 다운로드 경로에서는 크게 두 가지 유형의 추가 악성 파일이 확인됐다. 하나는 감염 PC의 정보를 탈취하는 파워셸 스크립트이고, 다른 하나는 백도어 로더 파워셸 스크립트다.

다운로더 유형의 스크립트는 정상 웹 서비스에 저장된 데이터를 내려받은 뒤, 그 안에 포함된 인코딩 데이터를 추출하고 실행하는 방식으로 동작한다. 해당 데이터는 공격자에 의해 변경될 수 있어, 동일한 유포 방식 안에서도 실행되는 악성코드가 달라질 수 있다.

정보 탈취 유형의 스크립트는 과거 김수키(Kimsuky) 그룹의 유사 사례와 비슷한 흐름을 보이며, 이번 사례에서도 공격자가 외부 서비스가 사용된 정황이 확인됐다.

 

정보 탈취와 백도어 동작

정보 탈취 유형의 파워셸 스크립트는 감염 PC의 다양한 정보를 수집한다. 수집 대상에는 설치된 보안 제품 정보, 운영체제 정보, 네트워크 설정, IP 정보, 드라이브 정보, 최근 수정된 파일 정보, 실행 중인 프로세스 정보 등이 포함된다.
이들 정보는 공격자가 감염 PC의 환경을 파악하는 데 활용될 수 있다. 예를 들어 보안 제품 설치 여부, 네트워크 연결 상태, 추가 공격 가능성 등을 판단하는 데 사용될 수 있다.

[그림 5] 정보탈취 유형의 파워셸 스크립트

 

백도어 로더 유형의 스크립트는 내부에 포함된 실행 데이터를 복호화한 뒤 메모리에 로드한다. 이후 로드된 악성코드는 백도어로 동작하며, 정보 탈취나 DLL(Dynamic Link Library) 실행 등의 악성 행위를 수행할 수 있다.

백도어는 공격자가 감염 PC에 다시 접근하거나 추가 명령을 내릴 수 있게 만드는 악성코드다. 따라서 단순 정보 수집에서 끝나지 않고 후속 공격으로 이어질 수 있다는 점에서 주의가 필요하다.

[그림 6] 백도어 악성코드

 

대응 방안

이번 공격은 사용자가 문서로 착각한 LNK 파일을 실행하면서 시작된다. 따라서 파일 실행 전 확인 절차가 중요하다. 기업 환경에서는 출처가 의심스러운 파일뿐만 아니라 작업 스케줄러, 파워셸 실행 기록, 외부 접속 기록 등을 전반적으로 점검해야 한다.

1) 출처가 불분명한 파일 실행 지양

문서처럼 보이더라도 확장자가 ‘.lnk’인 경우 실제 문서 파일이 아니라 바로가기 파일일 수 있으므로 실행에 주의해야 한다.

2) 파일 실행 전 확장자와 전달 경로 확인

이메일, 메신저, 웹사이트 등을 통해 전달받은 파일은 발신자와 전달 경로를 먼저 확인해야 한다. 업무상 익숙한 제목의 파일일수록 공격에 쉽게 악용될 수 있다.

3) 작업 스케줄러 및 의심 파일 점검

기업 보안 담당자는 조직 내 PC에 의심스러운 작업 스케줄러가 등록돼 있는지 점검해야 한다. 또한 사용자 계정 경로에 비정상적인 파워셸 스크립트나 알 수 없는 파일이 생성돼 있는지 확인해야 한다.

4) 파워셸 실행 및 외부 접속 기록 확인

파워셸 실행 기록, 외부 접속 흔적, 반복 실행되는 스크립트 여부를 함께 점검해야 한다. 정상 웹 서비스나 클라우드 저장소로 보이는 접속이라도 악성 데이터 전달에 악용될 수 있으므로, 평소와 다른 접속 패턴이 있는지 확인해야 한다.