2022년 IT 업계는 사이버 범죄 산업에 크게 한 방 날렸다. 매크로가 저절로 활성화되지 않도록 한 것이다. 이 움직임 하나만으로 매크로를 이용한 공격은 크게 줄어 지금은 씨가 마른 상황이다. 다만 다음에 올 것을 대비해야 한다.
[보안뉴스 문가용 기자] 마이크로소프트가 오피스 매크로와 관련된 정책을 변경하여 기본적으로 매크로 기능이 발동되지 않도록 한 이후로 공격자들은 계속해서 매크로를 대신할 새로운 침투 방법을 연구해 왔다. 변화하지 않으면 안 되는 상황이 펼쳐졌던 것인데, 역시나 해커들은 진화에 특화된 종족들이었다. 어느 새 새로운 환경에 적응해 온갖 멀웨어를 퍼트리고 있다.
![[보안뉴스 / 5.15.] MS의 매크로가 떠나간 자리에서 아직도 헤매고 있는 공격자들](http://www.boannews.com/media/upFiles2/2023/05/219749430_6747.jpg)
[이미지 = gettyimagesbank]
MS 오피스의 매크로 기능은 지난 수년 동안 사이버 공격자들이 가장 좋아하는 침투 방법 중 하나였다. 매크로가 걸린 문서라면, 해당 문서를 열 때 매크로 기능이 자동으로 실행된다는 걸 아는 공격자들이, 그 매크로를 통해 악성 명령이 실행되고 악성 파일이 다운로드 되도록 한 것이다. 그래서 2022년 MS는 기본적으로 매크로가 자동 실행 되도록 해 둔 정책을 뒤집었다. 인터넷을 통해 다운로드 받은 파일의 매크로를 발동시키려면 여러 가지 옵션을 조작해 일부러 활성화시켜야만 하도록 만든 것이다.
보안 전문가 셀레나 라슨(Selena Larson)은 “현재 많은 공격자들이 이것 저것을 실험해 보고 있다”고 한 마디로 설명한다. “스파게티 면이 익었는지 벽에다 자꾸만 면발을 던지고 있는 단계라고 볼 수 있습니다. 그런데 그 던지는 면발이 어마어마하게 많습니다. 온 벽이 다 설익은 스파게티 면 투성입니다. 새로운 공격 기법을 개발하기 위한 공격자들의 에너지가 정말로 놀랍습니다.”
공격자들, 어떻게 적응해 가고 있나
간단한 정책 변화 한 방으로 사이버 공격자들이 이토록 요동했던 때가 있나 싶을 정도다. 정책 변화가 있기 직전인 2021년, 보안 업체 프루프포인트(Proofpoint)가 세었을 때 MS 오피스 매크로 기능을 이용하는 사이버 공격자들의 수는 족히 수천을 넘어섰으니 그럴 수밖에 없었다. 그리고 2022년 문제의 정책이 시행되고, 매크로를 이용한 공격은 66% 줄어들었다. 2023년 현재 매크로 이용 공격은 거의 사라진 상태다.
공격자들에게는 새로운 방법이 필요했다. 작년 갑작스럽게 인기를 끈 건 컨테이너 파일들을 공격에 활용하는 것이었다. 인터넷을 통해 다운로드 받은 파일들에 MS가 부착하는 ‘MOTW’ 표시(이 표시가 있어 오피스는 파일이 웹에서 다운로드 된 것인지 아닌지를 파악하고, 그에 따라 매크로가 발동되지 않도록 한다)’를 피해가는 데 컨테이너 파일이 좋은 효과를 발휘한다는 걸 파악했기 때문이다. MS는 이러한 현상을 파악하고 조치를 취했다. 그 후 컨테이너 파일의 인기는 사그라들었고, 그 다음 타자라고 할 만한 방법은 나타나지 않고 있다.
2022년 하반기 HTML 스머글링이라는 기법이 공격자들 사이에서 널리 사용되기 시작했다. HTML 스머글링(HTML Smuggling)은 암호화 된 스크립트를 HTML 첨부파일 형태로 피해자의 시스템에 심는 기법이다. 2023년 초반에는 PDF가 잠시 공격자들 사이에서 유행하기도 했다. 둘 다 오래된 기법이 실험적으로 연구되면서 나타난 현상이다.
새로운 공격 기법이 등장하기도 했는데, 바로 MS의 원노트 파일을 악용하는 것이었다. 일부 공격 단체들이 원노트 파일을 공격에 동원하는 모습이 목격되었지만, 이것이 주류로 자리 잡지는 못했다. 그 외에도 여러 방법들이 고안되고 실험되고 있지만 정착한 것은 없다. 라슨은 “매크로처럼 일관적이고 광범위한 인기를 누리는 기법은 아직까지 등장하지 않았다고 봐야 한다”고 정리한다.
벽에 붙은 스파게티들, 보안 팀에는 무슨 뜻?
“확실히 공격자들은 지금 헤매고 있습니다. 이렇다 할 공격 기법이 아직 나오지 않았어요. 하지만 포기하지도 않았습니다. 매크로가 사라진 대신 더 창의적인 무언가가 나와 우리를 더 위협하게 될 지도 모릅니다. 아니, 그게 가장 가능성 높은 시나리오일 것 같습니다.” 라슨의 설명이다. “지금의 위기가 그들에게 기회가 될 것이 가장 두렵다는 겁니다.”
그렇다 해도 공격자들이 지불해야 할 것은 적지 않을 것이라고 라슨은 예상한다. “지금 공격자들에게는 투자의 기간입니다. MS와 보안 업계가 강제한 것이라고 볼 수 있죠. 원래 공격자들은 투자를 망설이기 마련인데, 이번에는 다릅니다. 매우 공격적으로 여러 가지를 시도하는 걸 알 수 있습니다. 그 동안 적잖은 수익을 올렸다는 걸 알 수 있습니다.”
결국 보안 담당자들도 지금의 상황에서 넋 놓고 있으면 안 된다는 뜻이다. “다행히 공격자들은 자신들이 하는 실험을 매번 공개합니다. 뭐가 됐든 실전 공격을 통해 자신들이 고안한 새로운 전략이 잘 통하는지 살펴야 하기 때문입니다. 보안 담당자들은 매크로를 대체하려는 공격자들의 모든 움직임들을 주시해 가면서 미리 대비책을 마련해야 합니다. 완전히 새로운 뭔가가 갑작스레 등장할 가능성은 그리 높지 않아 보입니다.”
한두 가지 전략으로 정착될 때까지 유행은 여러 가지로 휙휙 바뀔 수 있다고 라슨은 경고한다. “갑자기 원노트가 공격자들 사이에서 집중 받을 수도 있고, PDF가 부활할 수도 있지요. 이미 그랬던 적이 있고요. 그 외에도 여러 다른 수가 고안되고 있을 겁니다. 공격자들 사이에서의 유행을 주시하지 않으면 이런 변화가 너무 갑작스러워 대비할 수 없는 것처럼 느껴질 겁니다.”
3줄 요약
1. MS 오피스 매크로가 사라진 자리, 공격자들의 발등에 불똥이 튐.
2. 공격자들은 현재 여러 가지 방법을 고안해 실험하는 중.
3. 실험 기간 동안 차세대 공격 기법에 대한 힌트 나올 것.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
![[보안뉴스 / 6.8.] 혼다의 API 보호 실패, 수많은 정보 자유롭게 열람하게 해](https://cybersecurity.re.kr/wordpress/wp-content/uploads/2023/06/주석-2023-06-09-094640-1-500x383.png)
![[보안뉴스 / 6.8.] 초대형 공급망 공격? 클롭 랜섬웨어, 무브잇 통해 일 저질러](https://cybersecurity.re.kr/wordpress/wp-content/uploads/2023/06/주석-2023-06-09-094640-500x383.png)
![[보안뉴스 / 5.15.] MS의 매크로가 떠나간 자리에서 아직도 헤매고 있는 공격자들](https://mlsixs8vyvqc.i.optimole.com/U4pfbHs.KYFx~5c965/w:300/h:66/q:auto/https://cybersecurity.re.kr/wordpress/wp-content/uploads/2021/05/연구회-footer-로고.png "연구회 footer 로고")
