요즘 해커 무기는 '파일 없는' 공격

[아이뉴스24 김국배 기자] 2016년 미국 대선 당시 민주당 전국위원회(DNC) 해킹부터 지난해 국내 400개 이상의 조직을 감염시킨 '클롭' 랜섬웨어, 국내 대기업을 감염시킨 '마이킹즈 봇넷' 공격까지.

이 사건들의 공통점은 무엇일까. 바로 파일 없는 공격, 이른바 '파일리스' 공격 기법이 쓰였다는 것이다.

파일리스 공격이 해커들의 강력한 무기로 부상하고 있다. 파일리스는 악의적인 기능을 수행하는 코드를 메모리에서만 실행시키며 시스템에 피해를 입히는 공격 유형이다.

26일 안랩에 따르면 파일리스 기법이 지능형 지속위협(APT) 공격 뿐 아니라 랜섬웨어, 암호화폐 채굴 악성코드 배포 등 전방위로 확산되고 있다.

파일리스가 요즘 등장한 기법은 아니다. 그러나 증가세가 가팔라지기 시작한 건 마이크로소프트가 개발한 시스템 명령어 도구인 '파워셸'이 악용되기 시작한 2016년 이후부터다. APT 공격이 이뤄진 침해 사고에서 파일리스 기법이 많이 발견되면서 '지능형 휘발성 위협(AVT)'라는 말까지 생겨났다. 2018년부터는 국내에서도 파일리스 기법이 쓰인 침해사고가 확인되기 시작했다.

안랩 측은 "윈도 XP 서비스팩2 이후의 윈도 시스템에는 기본적으로 파워셸이 포함돼 있기 때문에 윈도를 목표로 한 공격에 유용하다"고 설명했다. 윈도 시스템을 장악하기 위한 효과적인 방법으로 쓰인다는 뜻이다.

해커들이 파일리스 기법을 쓰는 이유는 간단하다. 공격이 발견되거나 추적당하는 것을 원하지 않기 때문이다.

파일리스 기법의 경우 공격 대상의 시스템이 유입시킨 악성코드가 디스크 내에 파일 형태로 존재하지 않아 파일을 모니터링하는 백신(anti virus) 솔루션에 탐지되지 않을 수 있다. 보안 담당자도 확인할 파일이 없으니 공격자를 식별할 정보가 부족해진다.

파일리스 기법이 일반적인 백신 솔루션으로 대응하기 어려운 만큼 이 같은 공격을 파악하기 위해서는 시스템 로깅을 강화하고, 지속적으로 검토하는 것이 필요하다.

파일이 아닌 '악성 행위'에 집중하는 엔드포인트 위협탐지·대응(EDR) 솔루션을 활용하는 것도 방법이다.

이는 파일리스 악성코드가 EDR 시장의 성장을 이끌고 있다는 분석도 나오는 배경이기도 하다. 파일리스 악성코드가 엔드포인트 보안 시장의 '게임 체인저' 역할을 한다는 것이다.

이명수 안랩 ASEC 분석팀 수석연구원은 "파일리스 악성코드는 파일에 초점을 맞춘 기존 보안 솔루션으로는 탐지가 어렵기 때문에 이를 해결하고자 등장한 EDR의 성장을 촉진한다고 볼 수 있다"고 말했다.

김국배 기자의 다른 기사 보기

• '흔적도 없다' 파일리스 악성코드 '빨간불'