[CCTV뉴스=최형주 기자] 해커들이 특수하게 조작된 ZIP 압축파일을 통해 스팸 메일을 차단하는 보안 이메일 게이트웨이(SEG)를 우회하고 있음이 밝혀졌다.
보안기업 트러스트웨이브(Trustwave)는 5일 운송업체 USCO Logistics를 사칭한 피싱 이메일의 첨부파일에서 이 같은 악성파일을 발견했다고 전하며 주의를 당부했다.
모든 ZIP 아카이브에는 압축된 데이터 및 압축파일에 대한 정보가 포함된 특수 구조가 존재하고, 여기에는 아카이브 구조의 끝을 나타내기 위한 단일 ‘EOCD(End of Central Directory)’ 레코드가 포함돼 있다.
그러나 해커들이 첨부한 ZIP 파일에는 트로이목마 NanoCore RAT를 숨겨놓은 악성파일의 두번째 EOCD 레코드가 존재하고, 보안 이메일 게이트웨이는 EOCD 레코드까지는 스캔하지 않기 때문에 악성코드는 탐지되지 않는다.
결국 보안 이메일 게이트웨이는 미끼로 포함된 무해한 파일만을 인식해 해당 파일을 안전하다고 판단하며, 이러한 이중 아카이브 트릭을 통해 해커들은 게이트웨이의 스캐닝을 회피하고 악성코드를 유포한다.
또한 트러스트웨이브가 PowerArchiver 2019, WinZip, WinRar, 7Zip, Unzip에서 해당 파일을 압축 해제한 결과, WinZip과 Unzip에서는 파일의 압축 해제가 불가능했지만 다른 프로그램들에서는 악성파일의 추출이 가능했다고 설명했다.
악성코드에 감염되면 해커는 시스템을 완전히 제어할 수 있고, 여기에는 다크웹에서 무료로 배포되는 1.2.2.0 버전의 트로이목마가 사용된다.
업계는 이번 악성파일 발견에 대해 “게이트웨이를 우회하는 데에는 성공했지만, 자주 쓰이는 압축 프로그램들 중 일부에선 악성파일 추출이 불가능하다”며 “따라서 감염 피해 사례는 해커의 예상보다는 적을 것”이라고 전했다.
이번에 발견된 악성파일은 특정 프로그램을 통해 압축을 해제했을 때 문제가 된다. 하지만 보안 이메일 게이트웨이를 우회하는 공격기법이라는 점에서 사이버 공격이 발전하고 있음을 보여줘 업계에 시사점을 남긴다.
