사이버 위협 동향에 따르면 공격자들은 다양한 경로와 공격 방법을 통해 악성코드를 유포하고 있으며, 이메일과 전자문서로 위장한 악성코드를 활용하여 사이버 공격 활동을 진행하고 있습니다. 전자문서 중에서도 악성코드로 많이 활용되는 MS-Word 문서는 공격자가 악용할 수 있는 다양한 기능을 제공하며, 포맷 내 유연성을 통해 쉘코드, 악성 파일 실행 등을 은닉할 수 있는 공간이 존재합니다. 따라서 본 포스팅에서는 공격자가 제작한 MS-Word 문서형 악성코드의 구조를 파악해보고 위협인자를 추출할 수 있는 방법에 대해 알아보도록 하겠습니다.
[글쓴이:] 승호 손
손승호 연구원은 사이버보안학과 졸업 및 한국정보기술연구원 차세대 보안리더 양성 프로그램 5기 교육 수료생이다. 현재 KAIST 사이버보안연구센터 악성코드분석 팀원으로 악성코드 분석 프로그램 개발 및 연구를 진행하고 있다.
최근 종영된 ‘이상한 변호사 우영우’라는 드라마 내에서 개인정보를 유출한 쇼핑몰과 이들의 과실을 문제 삼아 천문학적인 과징금을 부과한 방통위와의 재판 시나리오가 등장했습니다. 공격자는 쇼핑몰 보안담당자의 PC에 키로거를 설치해 정보를 빼내어 ‘스피어 피싱’ 공격을 진행하였고 이 과정에서 메일에 첨부된 PE 구조의 .exe 악성코드 파일이 아닌 MS 워드를 실행함으로써 개인정보가 유출되었습니다. 이번 포스팅에서는 공격자는 MS 워드 내의 어떤 기능을 사용하여 문서형 악성코드를 제작했고, MS 워드 문서형 악성코드의 동작 방식에 대해 알아보도록 하겠습니다.
최근 사이버 위협 동향에 따르면 업무용으로 널리 사용되는 문서형 전자 파일에 악성코드를 교묘히 삽입하여 이메일 또는 메신저 등의 경로를 통해 무작위로 유포되는 문서형 악성코드가 지속해서 증가하고 있습니다. 코로나 19 팬데믹 및 사회적 중요 이슈 등을 이용한 사회공학적 기법을 이용하여 국내외 정부 기관과 주요 기업을 비롯한 기반 시설 내에도 MS Office 문서형 매크로 악성코드가 유입되고 있습니다. 이처럼 사회공학 기법을 통한 문서형 매크로 악성코드가 증가하는 추세이며, 최근 KAIST 사이버보안연구센터 연구원들을 대상으로 스피어피싱 공격이 발생한 바 있습니다. 이 공격에 대하여 악성 메일을 수신한 경위 및 의심 정황과 특징을 소개하고 수집된 MS Office Excel 문서형 매크로 악성코드에 대해 분석을 진행해보고자 합니다.