[보.알.남] 사용자의 눈을 피해 침투한다, 파일리스 공격 (보안뉴스, 이상우 기자, 2021.02.08.)
파일리스 공격(Fileless Malware Attack)은 공격자가 적의 방어를 우회할 수 있는 효과적인 수단이다. 일반적으로 안티 바이러스 소프트웨어는 악성 파일의 시그니처를 탐지해 이를 차단하거나 파일 자체를 삭제해 피해를 막는다. 이와 달리 파일리스 공격은 정상적인 소프트웨어나 운영체제에 내장된 도구를 통해 악성 스크립트를 실행하는 방식으로 이뤄진다.
기존 멀웨어와 달리 저장장치(HDD 등)에 직접적인 흔적을 남기지 않으며, 메모리(RAM)에서 악성 행위가 실행되기 때문에 상대적으로 탐지 및 차단이 어렵다. 이 때문에 인 메모리 악성코드(In-Memory Malware)라는 이름으로 불리며, 휘발성 저장장치인 RAM의 특성상 전원을 끄면 기록이 사라지기 때문에 어떤 악성 행위를 했는지 파악하기 어렵다.
이같은 파일리스 공격의 궁극적인 목적은 보안 기업의 탐지와 추적을 우회하는 것이다. EXE 등 실행 파일을 통한 악성 프로그램 설치 및 실행은 오늘날 그리 쉬운 방식이 아니다. 기본적으로 운영체제에서는 코드사인 인증서가 없는 소프트웨어의 실행에 대해 차단한다. 코드사인 인증서란 올바른 개발사가 제작했다는 것을 확인하는 일종의 소프트웨어용 ‘인감도장’으로, 외부 인증기관을 통해 이를 확인하면서 사용자와 개발자 사이에 신뢰를 구축한다.
물론 코드사인 인증서를 위조하거나 탈취해 무단으로 사용하는 공급망 공격도 있지만, 공격자 입장에서는 실행하는 데 많은 노력이 드는 방법이기도 하다. 이 밖에도 불법 복제 소프트웨어나 크랙 등으로 사칭해 악성 소프트웨어를 유포하는 방식도 있지만, 이 역시 운영체제에서 기본적으로 차단하고 있기 때문에 사용자가 강제로 허용하거나 안티 바이러스를 비활성화 하지만 않으면 공격당할 가능성도 적다.
이러한 파일리스 공격에 대응하기 위해서는 EDR(Endpoint Detection & Response)가 권장되지만, 기업에서라면 몰라도 개인 사용자가 EDR을 사용하기는 현실적으로 쉽지 않다. 결국 감염되지 않도록 노력하는 것이 최선이고, 기본적인 보안 수칙을 철저히 준수해야 한다.
대표적인 감염 경로로는 어도비 플래시 플레이어(지금은 지원이 종료됐지만), 악성 스크립트가 담긴 문서 파일 등이 있다. 이렇게 실행된 파일리스 악성코드는 다른 정상 프로세스에 악성 DLL을 삽입하거나 PowerShell, JavaScript 등의 또 다른 스크립트를 실행시키는 방식으로 악성 행위를 한다. Windows에서 지원하는 기능인 ‘BitLocker’를 악용하는 파일리스 랜섬웨어도 존재한다.