이메일, 악성코드의 고속도로가 되다
현재 이메일은 악성코드를 PC에 심는 손쉬운 루트다. 'ILOVEYOU' 웜부터 최신 랜섬웨어까지 보안사고의 주범은 이메일 첨부 파일에서 나왔다.
'MIME(Multipurpose Internet Mail Extensions)'는 기존 텍스트 뿐만 아니라 이미지, 오디오, 실행 파일 등 바이너리 데이터를 전송하고자 개발한 이메일 파일 첨부 표준이다. 이메일시스템 SMTP(Simple Mail Transfer Protocol)가 처음에는 7비트 ASCII 문자만 전송할 수 있었기 때문이다.
MIME는 메시지를 여러 파트로 나눠 파트마다 데이터 타입과 인코딩 방식을 명시해 전송한다. 클라이언트가 이를 해석해 사용하는 프로세스다.
이 같은 유연한 구조는 해커의 손쉬운 먹이감이다. 해커는 실행파일(.exe)을 기본 텍스트처럼 위장하거나 이중 확장자(invoice.pdf.exe)로 수신자를 속인다.
처음에는 실행파일(.exe, .scr)을 직접 첨부하더니 보안시스템이 이를 차단하자 더욱 교묘한 공격 기술이 등장한다.
매크로(Macro)는 업무용 문서(.doc, .틴)에 악성 VBA매크로를 심어 '콘텐츠 사용'을 클릭하는 순간 악성코드가 PC에 다운로드되는 공격 방법이다. 암호 걸린 압축 파일(.zip, .7z)을 첨부해 보안 검사를 우회하거나 디스크 이미지 파일(.iso, .img)을 첨부해 윈도우의 자동 마운트 기능을 악용하는 방법도 있다. 문서 내에 삽입하거나 바로가기 파일(.Ink)을 통해 파워셀명령어를 실행시키기도 한다.
현재 대부분의 악성코드는 시그니처 기반 보안기술로 차단 가능하지만 신종 악성코드는 제로데이 공격으로 이를 우회한다.
대응책으로 CDR(Content Disarm and Reconstruction)이 주목받고 있다. CDR은 문서 내 매크로, 자바스크립트 등 잠재적 위협 요소를 제거하고 안전한 콘텐츠만 재조립하는 기술이다. 가상 환경에서 파일을 직접 실행해보는 샌드박스(SandBox)기술도 나와 있다.
하지만 가장 효과적인 보안책은 실행 가능한 파일 확장자의 수신을 원천 차단하는 것이다. 즉 악성코드를 발송하는 해커의 메일서버를 탐지해 그곳에서 보내는 모든 메일을 차단하면 된다.
해커는 보안 기술을 우회하기 위해 악성코드 형태를 끊임없이 변형하지만 그 악성코드를 배포하는 '전송 인프라'는 쉽게 변경하기 어렵다.
정희수 sky@realsecu.net
