보안

“마이크로소프트의 매크로 차단 정책은 성공적” 매크로 해킹 피해 줄고 우회 기법 늘어

John P. Mello Jr. | CSO 2022.07.29
마이크로소프트의 매크로 차단 정책이 해킹 피해를 줄이는 데 긍정적인 역할을 한 것으로 조사됐다. 
 
ⓒ Getty Images Bank

보안 전문 업체 프루프포인트(Proofpoint)는 “2021년 10월부터 2022년 6월까지 매크로 기능이 들어간 첨부파일로 해킹을 시도하는 사례가 66% 감소했다”라며 “대신 공격 형태가 매크로 파일이 아닌 바로가기 파일(LNK)을 활용한 방식으로 옮겨가고 있다”라고 밝혔다. 프루프포인트의 위협연구 및 감지 부문 부사장 셰럿 드그리포는 “매크로 악성코드를 제외한 다른 공격이 지난 10개월간 1,600% 넘게 증가했다”라고 설명했다.

마이크로소프트는 2021년 10월 오피스 문서 내 매크로 기능을 차단하는 것을 기본값으로 설정하겠다고 발표했다. 7월 초 해당 정책을 잠시 취소했다가 20일에 다시 기존대로 정책을 유지하겠다고 밝혔다. 따라서 현재 오피스 문서 파일을 신뢰할 수 없거나 알 수 없는 사이트에서 다운받을 경우, 파일 내 매크로 기능은 자동으로 활성화되지 않는다. 드그리포는 “그동안 보안 담당자는 매크로의 악성 코드 문제를 해결하는 데 많은 공을 들였다”라며 “마이크로소프트가 매크로라는 강력한 보안 위협을 제거해주는 의미 있는 조치를 취해줘서 업계에 도움을 주고 있다”라고 밝혔다. 

보압 전문업체 텐에이블(Tenable)의 최고 보안 전략 담당자 나단 웬즐러는 “매크로는 대다수 사용자가 발견하기 어려운 프로그램이기 때문에 마이크로소프트의 정책은 좋은 영향을 줬다”라며 “그렇다고 위협이 완전히 사라지는 것은 아니며, 신뢰할 수 없는 곳에서 얻은 파일을 함부로 열지 말라고 사용자에게 계속 주의를 줘야 한다”라고 설명했다. 

마이크로소프트 정책으로 해커들은 다른 공격 기법을 찾고 있는 모양새다. 보안 전문업체 엑시티움(Xcitium)의 보안 부문 부사장 팀 반도스는 “공격자도 마이크로소프트의 바뀐 정책을 알고 있다”라며 “이전 방식으로 공격을 제대로 할 수 없기에 새로운 기법을 실험하고 있다”라고 설명했다. 새로운 공격 방식 중에서도 악명 높은 것이 이모텟(Emotet)이다. 이모텟은 메일 내 첨부파일이나 링크를 통해 악성코드를 유포하는 봇넷이다. 반도스는 “매크로가 아닌 원드라이브나 구글 드라이브의 링크 클릭을 유도하는 공격이 증가하고 있다”라고 설명했다. 

쉐도우IT 관리 플랫폼 업체 설바이(Cerby)의 최고 보안 관리자 맷 치오디는 “마이크로소프트의 정책은 칭찬받을 만하지만, 여전히 매크로를 대체할만한 공격 방식이 있다는 것을 알아야 한다”라며 “공격자는 VBA 매크로 공격 대신 기업의 손이 잘 닿지 않는 애플리케이션의 취약점을 주로 찾아낼 것”이라고 설명했다. 클라우드 기반 보안 서비스 업체 레드 카나리아(Red Canary)의 수석 정보보안 전문가 브라이언 도노휴는 "마이크로소프트의 정책 덕에 해킹 과정에서 매크로 활용은 줄고, 대체 기법이 지난 몇 년간 다양화되고 있다"라고 밝혔다. 

프루프포인트는 “매크로를 사용한 첨부파일 대신 ISO나 컨테이너 파일 형식, LNK 파일을 활용한 공격이 늘고 있다. 앞으로 해커들은 매크로 공격보다는 컨테이너 파일 포맷을 활용한 공격을 이어갈 가능성이 크다. 이런 파일은 매크로 차단 기능을 우회할 수 있으며 악성코드 다운로드, 데이터 정찰(reconnaissance), 랜섬웨어를 유포하는 공격을 시도한다. 과거와 비교했을 때 가장 규모가 큰 이메일 해킹 공격이다”라고 설명했다. 
editor@itworld.co.kr
 Tags 매크로

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.