악성코드 삽입해 아카이브 파일 조작 가능
2010.04.20 17:26
악성코드 삽입해 아카이브 파일 조작 가능
악성 해커, 패킹으로 백신 프로그램 우회
대다수의 최신 백신 프로그램으로는 탐지가 되지 않는, *.rar 이나 *.zip과 같은 아카이브 파일 포맷 내 멀웨어를 숨기는 것이 가능한 것으로 나타나 이로 인한 위험의 심각성에 귀추가 주목되고 있다.
RLPack을 만든 토미슬라브 페리신(Tomislav Pericin)은 ‘블랙햇 시큐리티 컨퍼런스 2010(Black Hat EU 2010)’에서 보안 전문가인 마리오 벅산(Mario Vuksan)과 AccessDatad의 COO인 브라이언 카니(Brian Karney)와 함께 프리젠테이션을 통해 콘피커 웜(Conficker Work)과 같은 악성 코드를 삽입, 아카이브 포맷을 어떻게 조작시킬 수 있는지를 시연했다.
많은 기업들이 첨부파일을 분석, 악성 코드가 포함돼 있는지 확인하는 이른바 ‘게이트웨이’ 보안 솔루션을 이용한다. ‘게이트웨이’ 보안 솔루션이 현재 이 분야의 탐지에서 뛰어난 성능을 보이기는 하지만 해커들은 악성 파일을 압축화(패킹) 시켜 백신 프로그램을 우회할 수 있다는 것이다. 따라서 사용자가 악성코드에 감염된 파일을 열 때 악성 해커가 컴퓨터에 원격 접속할 수 있다.
페리신은 “아카이브 파일 포맷 자체에는 본질적으로 문제가 없다”며 “문제는 이 파일들을 조작하는 것이 가능하다는 점”이라고 지적했다.
그는 아카이브 파일 내 악성 콘텐츠를 어떻게 숨길 수 있는지 설명했다. 이 기법은 ‘스테가노그래피(steganography, 암호화 은닉 기술)’라고 불리며 전송자와 수신자만 알 수 있는 숨겨진 메시지를 작성하는 방법이다. 그는 Zip 파일에 숨겨진 메시지를 넣는 툴이 적어도 두개는 존재한다고 전했다.
이에 따라 그는 아카이브 포맷에 악성 소프트웨어 및 숨겨진 콘텐츠를 발견할 수 있는 무료 오픈 소스 툴을 공개했다. NyxEngine이라 불리는 이 툴은 내부에 무엇이 있는지 미리 조사, 분석할 수 있다. 이는 *.zip, *.rar, *.gz, *.cab 포맷을 지원한다.
[호애진 기자(is@boannews.com)]
https://www.boannews.com/media/view.asp?page=1&gpage=1&idx=20500&search=&find=&kind=0