문서 파일도 조심해야 한다고? ‘우영우’도 골치 아프게 한 해킹

By이진호

해킹 이슈가 우영우 변호사의 골치를 아프게 했다. 드라마 ‘이상한 변호사 우영우(이하 드라마 우영우)’에 등장한 에피소드 이야기다.

지난 주 방영된 드라마 우영우 15화 에피소드에서, 온라인 쇼핑몰 ‘라온’의 DB 관리자 PC가 해킹돼 대규모 개인정보 유출 사건이 벌어졌다. 이메일에 첨부된 doc 문서 파일이 해킹의 매개체가 됐다. 이메일 한번 잘 못 열었다가 4000만명 이상의 고객 개인정보가 유출된 것이다.

해커는 어떻게 실행 파일이 아닌 ‘문서 파일’로도 보안을 뚫을 수 있었을까. 원래 문서 파일은 실행 파일이 아니어서 해킹과 상관 없는 게 아니었나? 이제는 문서 파일도 의심해야 하는 세상. 우영우가 맞닥뜨린 해킹 사례는 무엇이고, 피해를 막을 방법은 무엇일까.

(사진: 넷플릭스)

익숙함 노리는 ‘문서’ 파일

드라마 속에서 쇼핑몰 라온의 보안 담당자 최진표 팀장은 동생이 보낸 것처럼 보이는 이메일을 하나 받는다. 이 속에는 동생의 자기소개서로 위장한 워드 문서(.doc) 파일이 들어 있었다. 최 팀장은 의심 없이 이를 열었고 라온 고객들의 개인 정보가 유출됐다.

해킹은 이메일에 첨부된 실행 파일(.exe)로만 가능할 거로 생각하기 쉽다. 하지만 수법이 널리 알려지니 사람들도 .exe 파일을 쉬이 열어보지 않기 시작했다. 이에 해커들은 방법을 바꿔 익숙한 문서 파일로 경계심을 푼다.

실제로 최근 악성코드는 .doc를 비롯해 .pdf, .hwp, .xls 등의 문서파일 등을 활용한 공격이 빈번하다는 게 보안 업체들의 설명이다. 이스트시큐리티에 따르면, 과거에도 국내 모 비트코인 거래소에 경찰이 회원 조회를 협조하는 것으로 속인 이메일 공격이 수행된 바 있다. 이때는 파일명이 ‘비트코인 거래내역.xls’으로 된 엑셀 파일이 쓰였다.

최근에는 유튜브 KTV 프로그램 출연 문의로 위장한 한글 문서(.hwp)도 이슈가 됐다. 참여 여부를 묻는 문서로 북한 연계 해킹 조직의 소행으로 드러났다. 실행될 때 평소 접한 것과 흡사한 가짜 메시지 ‘상위 버전에서 작성한 문서입니다’ 창을 띄워 의심 없이 이를 클릭하도록 했다. 해당 사례는 객체연결삽입(OLE) 명령이 활용됐다. 외부 파일을 직접 한글 문서에 삽입하는 기능이다. OLE를 통해 배치(Bat) 파일과 파워셸(Powershell) 명령어를 써 특정 서버로 통신을 시도하는 형태였다.

드라마에서는 최 팀장이 마이크로소프트(MS) 워드 파일을 연 뒤 화면 상단의 ‘콘텐츠 사용’ 버튼을 누른 행위가 해킹의 시발점이 됐다. 이는 MS 오피스의 비주얼 베이직(VBA) 매크로 기능으로,  한글 파일의 OLE와 같은 역할을 수행하며 악성 코드를 심는 데 악용된다.

드라마에는 사진과 같은 내용의 파일이 해킹에 사용된 것으로 묘사됐다. 지난해 실제로 국내 방위산업체를 대상으로 행해진 북한 소행의 해킹에 쓰인 화면과 똑같다는 게 이스트시큐리티의 설명이다. (사진: 이스트시큐리티)

이 같이 문서 파일 내에서 특정 버튼 클릭을 유도하는 행위는 십중팔구 해킹 위험성이 도사린다는 게 전문가들의 경고다. 파일이 의심스러울 경우 메일 발신자에게 발신 여부 확인은 물론, 보낸 시간까지도 확인하는 게 좋다.

문종현 이스트시큐리티 시큐리티대응센터(ESRC) 센터장은 “최근 이메일 해킹 수법은 발신자가 제대로 보낸 메일도 취소하고, 내용을 바꿔치기하는 경우가 있다”면서 “의심스러운 메일은 보낸 시간과 수신한 시간 사이의 시차 또한 체크해야 한다”고 조언했다.

최근 백신 솔루션은 의심되는 행위를 기반으로 판단하는 ‘행위 기반 진단’ 등의 기능을 제공하니 이를 활용하는 것도 방법이다. 박태환 안랩 사이버시큐리티센터(ACSC) 대응팀장은  “백신을 설치하는 것에서 그치지 않고 실시간 감시 기능을 사용하고, 최신 버전을 유지해 혹시 모를 악성코드 감염에 대비해야 한다 ”고 강조했다.

 스피어 피싱, APT…해커는 오랜 시간 당신을 노린다 

문서 파일이 첨부된 이메일을 열게 만든 것도 해킹 활동의 일부다. 드라마 속 해커는 최 팀장의 동생인 척 속여 자기소개서 메일을 보냈다. 뒤늦게 동생과 통화한 뒤 사칭이라는 것을 안 최 팀장은 회사 대표에게 말한다. “스피어 피싱에 당한 것 같습니다.”

스피어 피싱은 작살을 뜻하는 영단어 ‘Spear’에서 유래했다. 불특정 다수가 아니라 특정인을 겨냥한 공격에 당했다는 뜻이다. 이는 실제 현실에서도 쉽게 발견된다. 올해 봄에도 대통령직인수위원회 소속 일부 위원들을 대상으로 한 스피어 피싱 시도가 일어났었다. 고위 인사들의 아이디와 패스워드를 빼내기 위한 악성 피싱이었다.

이뿐만이 아니다. 드라마에는 지능형 지속 공격(APT) 또한 언급됐다. 드라마에서 해커는 동생의 메일을 확인하고 말투 등을 참고했는 데 이것이 APT의 일종이라는 설명이다.

문종현 ESRC 센터장은 “지인의 메일을 해킹해 오랜 시간 글을 쓰는 패턴 등을 확인해 속인다”면서 “비슷한 이름의 이메일 계정을 만들어 송부하는 방식도 쓰인다”고 말했다.

또한 드라마 속에서 라온이 천문학적인 금액의 과징금 위기에 놓인 것은 ‘아이들 타임아웃(Idle Timeout)’ 준수 여부였다. 아이들 타임아웃은 시스템에 로그인한 이후 일정 시간 동안 활동하지 않으면 자동으로 로그아웃되는 것을 말한다. 그러나 아이들 타임아웃 자체로는 해킹 피해를 막기 힘들다.

이는  키로깅(Keylogging) 때문이다. 드라마에서도 최 팀장의 컴퓨터에는 키로깅이 설치돼 있었다.  키로깅은 키보드로 친 로그인 정보는 물론 메신저 대화 등 말 그대로 키보드의 로그를 따기 때문에 사용자가 입력하는 로그인 정보를 알아낼 수 있다.

문종현 ESRC 센터장은 “악성으로 진행되는 해킹은 이미 아이디나 비밀번호 등을 알아내는 악성 코드를 심어 놓은 상태라 아이들 타임아웃으로 막아내기 힘들다”고 말했다. 1차적인 안전 장치 역할은 할 수 있지만, 근본적인 해결책은 아니라는 뜻이다.

조직 차원에서는  추가적으로 멀티팩터인증(MFA)을 도입해 안전한 접속 환경을 마련하는 것이 바람직하다. 전통적인 인증 방식인 아이디, 패스워드에 더해 또 다른 인증 방식을 마련해 놓으라는 의미다.

수시 점검의 중요성 또한 아무리 강조해도 지나치지 않다. 박태환 ACSC 대응팀장은 “조직 내 PC, 운영체제(OS), 소프트웨어(SW) 등에 대해 수시로 보안 점검을 수행하고 최신 패치를 적용해야 한다”며 “보안 솔루션을 활용해 내부 보안 체계를 구축하고 임직원에 대한 보안교육을 실시해 경각심을 높여야 한다”고 말했다.

클라우드도 하나의 해답이 될 수 있다. 자체 서버, 즉 온프레미스가 아닌 가상 서버를 두는 클라우드는 시스템이 모든 파일을 검사하므로 한 차원의 벽을 세우는 효과를 볼 수 있다.

글. 바이라인네트워크
<이진호 기자>jhlee26@byline.network

보이는 것만 믿지 않겠습니다.
jhlee26@byline.network

관련 글

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다