이 시각 주요 뉴스

여백

스팸 차단 우회하는 특수 압축파일 발견

보안 이메일 게이트웨이 회피 트릭으로 악성코드 유포
최형주 기자l승인2019.11.08 09:21:12l수정2019.11.08 11:07

크게

작게

메일

인쇄

신고

[CCTV뉴스=최형주 기자] 해커들이 특수하게 조작된 ZIP 압축파일을 통해 스팸 메일을 차단하는 보안 이메일 게이트웨이(SEG)를 우회하고 있음이 밝혀졌다.

보안기업 트러스트웨이브(Trustwave)는 5일 운송업체 USCO Logistics를 사칭한 피싱 이메일의 첨부파일에서 이 같은 악성파일을 발견했다고 전하며 주의를 당부했다.

모든 ZIP 아카이브에는 압축된 데이터 및 압축파일에 대한 정보가 포함된 특수 구조가 존재하고, 여기에는 아카이브 구조의 끝을 나타내기 위한 단일 ‘EOCD(End of Central Directory)’ 레코드가 포함돼 있다. 

그러나 해커들이 첨부한 ZIP 파일에는 트로이목마 NanoCore RAT를 숨겨놓은 악성파일의 두번째 EOCD 레코드가 존재하고, 보안 이메일 게이트웨이는 EOCD 레코드까지는 스캔하지 않기 때문에 악성코드는 탐지되지 않는다.

결국 보안 이메일 게이트웨이는 미끼로 포함된 무해한 파일만을 인식해 해당 파일을 안전하다고 판단하며, 이러한 이중 아카이브 트릭을 통해 해커들은 게이트웨이의 스캐닝을 회피하고 악성코드를 유포한다.

또한 트러스트웨이브가 PowerArchiver 2019, WinZip, WinRar, 7Zip, Unzip에서 해당 파일을 압축 해제한 결과, WinZip과 Unzip에서는 파일의 압축 해제가 불가능했지만 다른 프로그램들에서는 악성파일의 추출이 가능했다고 설명했다.

악성코드에 감염되면 해커는 시스템을 완전히 제어할 수 있고, 여기에는 다크웹에서 무료로 배포되는 1.2.2.0 버전의 트로이목마가 사용된다.

업계는 이번 악성파일 발견에 대해 “게이트웨이를 우회하는 데에는 성공했지만, 자주 쓰이는 압축 프로그램들 중 일부에선 악성파일 추출이 불가능하다”며 “따라서 감염 피해 사례는 해커의 예상보다는 적을 것”이라고 전했다.

이번에 발견된 악성파일은 특정 프로그램을 통해 압축을 해제했을 때 문제가 된다. 하지만 보안 이메일 게이트웨이를 우회하는 공격기법이라는 점에서 사이버 공격이 발전하고 있음을 보여줘 업계에 시사점을 남긴다.

 

#스팸#이메일#피싱#피싱메일#악성코드#트로이목마#랜섬웨어#멀웨어#해킹#해커#보안#보호#사이버#위협#공격#취약#취약점#압축#파일#압축파일#winzip#7zip#unzip#winrar

최형주 기자  hjchoi@cctvnews.co.kr
<저작권자 © CCTV뉴스, 무단 전재 및 재배포 금지>

최형주 기자의 다른기사 보기
여백
여백
여백
여백
매체소개공지사항보안자료실기사제보광고문의불편신고개인정보취급방침청소년보호정책이메일무단수집거부    [기사ㆍ기고 문의 : desk@cctvnews.co.kr]
(주)테크월드 08507 서울특별시 금천구 가산디지털1로 168, 1012-1호 (가산동, 우림라이온스밸리 C동)  |  제호: 씨씨티브이뉴스  |  발행일: 2009년 2월 19일
대표전화 : 02)2026-5700  |  팩스 : 02)2026-5701  |  이메일 : webmaster@techworld.co.kr  |  청소년보호책임자 : 박지성
통신판매업신고번호 : 제 2008-서울금천-0415 호  |  발행·편집인 : 박한식  |  인터넷신문등록번호 : 서울, 아 00607  |  등록일 : 2008.06.27
Copyright © 2019 CCTV뉴스. All rights reserved .