원격 코드 실행 공격은 여러 기업이 직면한 가장 심각한 사이버 공격 유형 중 하나이다. 업무용 메일로 위장한 피싱 메일의 오피스 첨부물을 한 번 클릭하면, 즉시 기기에 멀웨어가 설치되면서 민감 데이터가 유출될 위험성이 커진다.
이에, 마이크로소프트는 지난해 10월, 악성 파일을 동원한 사이버 공격 피해를 최소화하기 위해 오피스 매크로를 차단하기 시작했다. 그렇다면, 마이크로소프트의 오피스 매크로 차단이 실제 사이버 공격 피해 규모 감소에 효과가 있었을까?
미국 온라인 IT 매체 벤처비트는 사이버 보안 공급사 엑스펠(Expel)의 최신 보고서를 인용, 오피스 매크로 차단이 사이버 공격 세력의 보안 위협 수법에 근본적인 변화를 가져왔다고 보도했다.
엑스펠은 올해 1분기 랜섬웨어 공격 전, 매크로를 실행한 마이크로소프트 워드나 엑셀 4.0 문서가 초기 공격 벡터 중 55%를 차지했다고 분석했다. 그러나 2분기 들어 그 수치는 9%로 대폭 감소했다.
올해 2분기 오피스 매크로 동원 사례가 급격히 감소한 대신 디스크 이미지(ISO)나 LNK 파일, HTML 애플리케이션(HTA) 파일을 엔터프라이스 네트워크 침입과 악성 콘텐츠 유포 수단으로 활용하는 사례가 크게 증가한 것으로 나타났다.
엑스펠 보안 운영 부사장 조나단 헨신키(Jonathan Hencinski)는 “마이크로소프트의 오피스 매크로 차단 이후 랜섬웨어 공격 세력의 수법이 달라졌다”라며, “ISO와 LNK, HTA 파일을 동원한 공격은 고전적인 수법이지만, 효과적인 공격 개시가 가능하다”라고 전했다.
헨신키 부사장은 피싱 공격 예방 대책도 설명했다. 새로운 공격 수법 방어를 위해 기업의 자바스크립트(.js, .jse)와 윈도 스크립트 파일(.wsf, .wsh), 애플리케이션용 HTML 파일을 노트패드로 열어, 보편적인 공격 진입 지점을 제거할 것을 권고했다.
헨신키 부사장은 윈도 익스플로러 확장판에 ISO 파일을 등록하지 않고, 윈도가 ISO 파일을 인식하지 않도록 하는 방법도 언급했다.
피싱 공격은 보통 피해자를 속여 악성파일 설치를 유도하므로 보안 이메일 게이트웨이(SEG)를 설치하여 수신 및 발신 이메일 모니터링을 통해 피싱 공격을 감지하는 방법도 훌륭한 예방 대책이라고 할 수 있다.
[저작권자ⓒ CWN(CHANGE WITH NEWS). 무단전재-재배포 금지]
