RTF 포맷의 파일은 매우 유연하고, 그래서 업무에도 많이 활용된다. 아주 간단한 조작으로 악성 무기로 만드는 것도 가능하다. 최근 APT 단체들이 갑자기 이 RTF 파일의 가능성에 주목하기 시작했다.

[보안뉴스 문가용 기자] 러시아, 중국, 인도의 APT 공격 단체들이 새로운 피싱 전략을 활용하기 시작했다. 이 전략은 흉내 내기가 무척 쉬워서 다른 사이버 공격자들이 따라할 것이 우려되는 상황이다. RTF라는 문서 템플릿을 주입하는 것으로, 이에 대해 보안 업체 프루프포인트(Proofpoint)가 조사해 발표했다.

​

[이미지 = utoimage]

물론 피싱 공격자들이 과거 RTF 포맷을 단 한 번도 사용하지 않았던 것은 아니다. 다만 그러한 공격 방식이 이렇게까지 유행한 적은 한 번도 없었다는 게 프루프포인트의 설명이다. “RTF 템플릿에 작성된 가짜 콘텐츠는, 피해자가 해당 RTF 파일을 여는 순간 외부 URL에 호스팅 된 진짜 콘텐츠를 가져옴으로써 변경될 수 있다는 특징을 가지고 있습니다. 공격자는 이 URL 주소를 변경시켜 악성 행위를 실시할 수 있습니다.”

프루프포인트는 “RTF 포맷의 파일은 원래부터 대단히 유연성이 높았다”며 “다양한 객체들을 수용할 수 있는 구조로 만들어졌기 때문”이라고 설명한다. “공격자들로서는 악성 URL을 심어두고, 그 링크의 도착지에 악성 파일 및 페이로드를 호스팅 해 두면 끝입니다. RTF 파일은 특성과 관련된 정보를 평문 문자열로서 저장하기 때문에 가짜 파일 혹은 피싱용 파일을 제작하는 게 상당히 간단해집니다.” 프루프포인트의 부회장인 셰럿 드그리포(Sherrod DeGrippo)의 설명이다.

프루프포인트는 RTF 파일의 일정 부분을 변경시켜 공격자들이 원하는 URL을 삽입하는 것이 “해커들에게는 대단히 사소한 일일 뿐”이라고 말한다. “RTF 파일 포맷은 원래 콘텐츠 내 링크를 눌렀을 때 다른 파일과 연결되도록 설계되어 있습니다. 하지만 특성을 잠깐 손봄으로써 특정 URL에 연결된 자원이 다운로드 되도록 만들 수 있습니다. .rtf 파일만이 아니라 .doc.rtf과 같은 확장자를 가진 파일에도 같은 기술을 적용할 수 있습니다.”

프루프포인트가 확보한 RTF 파일 샘플들은 현재 일반 백신으로 탐지하기가 어려운 것으로 조사됐다. “경보가 울리지 않으면 사용자들 입장에서 당연히 속기가 쉽습니다. 사용자가 이 문서를 열 경우, 가끔 ‘서버에 접속해 정보를 찾고 있습니다’라는 메시지가 잠깐 보이기도 합니다. 보통의 워드 파일이나 RTF 파일을 열 때 나타나는 메시지는 아니죠. 하지만 항상 이런 메시지가 뜨는 건 아닙니다. 보안다고 해도 너무 잠깐이라 놓치기 쉽고요.”

프루프포인트는 현재 유행하고 있는 RTF 주입 공격을 시작한 APT 그룹을 현재까지 세 개 발견한 상태다. 하나는 두낫(DoNot) 팀으로, 주로 인도 정부의 편의와 이익을 위해서 공격을 실시하는 것으로 알려져 있다. 이들의 공격은 7월 8일부터 발견되고 있다. 그 다음은 TA423으로 분류되는 중국 APT 단체들이 9월 29일부터 이 전략을 활용하고 있음을 발견할 수 있었고, 10월 5일부터 러시아의 APT 단체인 가마레돈(Gamaredon)이 등장했다고 한다.

“APT 단체의 기술력과 수준을 생각했을 때 RTF 문서를 활용한 피싱 기법은 정말 어울리지 않습니다. 유치한 수준이죠. 하지만 APT 단체들이라고 해서 항상 고급 공격 기술만 발휘하는 건 아닙니다. 이들에게 가장 중요한 건 목적 달성이지 기술 연마가 아니거든요. 아무리 유치해도 효과가 좋고 효율이 좋으면 사용할 수 있고, 그렇게 하고 있습니다. 공격에 투자되는 자원이 적다는 건 공격자들에게 커다란 장점이 되죠.”

이런 쉽고 간단한 공격 기법을 사용했을 때의 또 다른 장점은, 공격자 추적이 어려워진다는 것이다. “고급 공격은 고급 해킹 도구들을 수반합니다. 고급 해킹 도구는 아무나 만들 수 없기 때문에 발견되는 순간 공격자의 정체도 드러나죠. 하지만 RTF 주입처럼 어느 누구나 할 수 있는 기법을 사용하면 특정 단체를 지목하기가 어려워집니다. 추적, 분석, 조사에 더 큰 혼란을 야기할 수 있다는 뜻이죠.”

RTF 주입이라는 간단한 공격이 통하는 건 많은 기업들이 RTF 포맷의 파일을 굳이 차단하지 않기 때문이다. “RTF 포맷의 문서는 정상적인 업무 활동에 자주 사용되죠. 기업 입장에서는 차단하기로 결정하고 설정하기가 여간 망설여지는 게 아닙니다. 공격자들도 이 점을 잘 알고 있지요.”

프루프포인트는 APT들 사이에서 서서히 퍼지기 시작한 이 공격 기법이 곧 일반 사이버 범죄 단체들 사이에서도 퍼질 것으로 보고 있다. “원래 고급 APT 공격자들이 사용한 기법은 일반 사이버 범죄자들 사이에서도 퍼집니다. 수준 높은 공격 기술을 일반 해커들이 빠르게 학습하는 것이죠. 그러면서 상향평준화가 되고 있고요. RTF 주입 전략은 따라하기가 쉽고 간단하기 때문에 더더욱 빨리 퍼져갈 수 있습니다. RTF 문서에 대한 주의가 당분간 필요합니다.”

시장 분석 업체 포레스터(Forrester)는 “피싱 공격이라는 말이 너무 널리 알려져 있어 우습게 보는 경향이 있는데, 최고 수준의 보안 전문가들마저도 가끔씩 이 단순한 피싱에 속는다”고 경고한다. “일반 사용자들이 업무 때문에 자주 사용하는 RTF 문서를 활용한 피싱 공격이라면 누구나 속을 수 있습니다. 피싱은 기술적 제어 장치 마련과 반복적인 교육과 훈련을 병행해야 막을 확률이 높아집니다. 이번 RTF 주입 공격 역시 알리고, 주의시키고, 시험해야 할 겁니다.”

3줄 요약

1. APT 공격자들, 갑자기 RTF 파일을 활용한 피싱 공격 시작.

2. 공격 흉내 내기가 너무 쉬워서 일반 사이버 범죄 단체들로도 퍼져갈 듯.

3. RTF는 업무에 자주 사용되는 파일 포맷이라 일괄 차단하기 힘드니 보안 교육이 중요.

[국제부 문가용 기자(globoan@boannews.com)]

[출처 : 보안뉴스(https://www.boannews.com/media/view.asp?idx=102995&page=2&mkind=1&kind=1)]​