파일을 다운로드 시키지 않고 자바스크립트나 매크로 명령 등으로 악성기능을 수행하는 무(無)파일 악성코드가 확산되고 있다. 전문가들은 내년에 무파일 악성코드 공격이 기승을 부릴 것으로 예측하고 있어 주의가 요구된다.

26일 시만텍코리아에 따르면, 올해 하반기 파일을 이용하지 않고 컴퓨터의 메모리(RAM)에서 직접 실행되는 무파일 공격이 급증했다.

최근 시만텍의 보고서에 따르면, 시만텍이 2016년 2분기 수집한 무파일 공격 샘플이 1분기에 비해 14배 증가했다. 또 3분기에는 다시 2분기보다 22배 증가했다. 시만텍은 3분기 동안 하루 평균 46만6028개의 이메일 악성 자바스크립트를 차단했다. 또 같은 기간 하루 평균 21만1235건의 매크로 공격을 발견했다. 올해 3분기에 전 세계적으로 일일 평균 67만726건의 무파일 공격이 있었다는 뜻이다.

이에 따라 시만텍에서는 최근 2017년 10대 보안 이슈를 발표하면서 내년에 무파일 공격이 기승을 부릴 것이라고 지적했다.

윤광택 시만텍코리아 상무는 “2014년경 무파일 악성코드 공격이 확인된 후 점차 증가추세에 있다”며 “2012년 랜섬웨어를 우려한 후 몇 년 만에 확산된 것처럼 무파일 악성코드도 비슷한 양상을 보일 것으로 우려된다”고 말했다.

시만텍뿐 아니라 다른 보안 업체들도 비슷한 경고를 하고 있다. 안랩은 10월 31일 ‘랜섬웨어 전달하는 파워쉘 악성코드’ 보안 이슈 분석에서 무파일 악성코드의 확산을 경고했다. 또 앞서 지난 2월에는 하우리도 스크립트 명령을 이용해 파워쉘을 악용하는 사례가 늘고 있다고 지적했다.

일반적인 악성코드는 사용자가 인터넷 사이트를 방문하거나 이메일에 첨부된 파일을 다운로드, 열람할 때 악성코드 파일을 PC 등에 다운로드한다. 이 악성코드 파일이 PC에서 실행되면서 정보를 빼내거나 PC를 마비시키고 데이터를 암호화해 협박을 하기도 한다.

그런데 무파일 악성코드는 파일을 PC에 다운로드 하지 않고 실행 명령인 자바스크립트와 워드 매크로 등을 이용해 메모리에서 동작한다. 악성 실행코드는 윈도 운영체제(OS)의 자동화 도구인 파워쉘을 이용해 정보를 빼내고 PC를 장악하는 방식을 주로 쓰고 있다.

1990년대와 2000년대 초반에도 무파일 악성코드가 있었다. 하지만 당시에는 기능의 제한성으로 인해 무파일 방식이 사라지고 파일 다운로드 방식이 널리 쓰였다. 그런데 다시 무파일 방식이 다시 고개를 들고 있는 것이다. 해커들은 보안 솔루션, 서비스가 파일 방식의 악성코드 유포에 대응하는 것을 우회하기 위해 과거 쓰였던 무파일 방식을 다시 쓰고 있는 것으로 보인다.

윤광택 상무는 “악성코드 탐지를 회피하기 위한 방법 중 하나로 해석할 수 있다”며 “이미 랜섬웨어 감염에 무파일 방식이 사용되고 있다. 현실적인 위협으로 다가오고 있다”고 말했다.

과거 무파일 방식은 기능에 제한이 있었지만 이제는 윈도에 탑재된 자동화 도구인 파워쉘을 조정함으로써 제한성에서도 벗어난 것이다.

내년에 무파일 악성코드가 창궐할 수 있는 만큼 이에 대한 대비가 필요하다는 지적이다.

윤 상무는 “무파일 악성코드를 막는 방법이 있기는 하지만 일각에서는 파일 악성코드 중심으로 보안이 되고 있는 것도 사실”이라며 “새로운 위협에 맞는 대응 방안이 필요하다”고 말했다.

전문가들은 무파일 악성코드가 파일을 다운로드 하지는 않지만 특정한 행위를 하는 것에 주목하고 있다. 메모리에 올라가서 명령을 하고 파워셀 등을 이용하려고 한다는 것이다. 이에 따라 이런 행위를 면밀히 모니터링하는 것이 필요하다고 보고 있다. 특히 파워쉘에 대한 실행 통제 기능이나 스크립트 악성코드의 행위에 대비하는 것이 중요하다는 지적이다.

(viper@techm.kr)]