과거 3년 동안 맬웨어와 기타 악성 코드 유형에 가장 많이 사용되었던 매개체는 보잘것없는 이메일 첨부 파일이었습니다. 더 자세히 말하면, 하이퍼텍스트 마크업 언어 즉, HTML로 코딩된 첨부 파일이 원격 액세스 트로이 목마(RAT), 랜섬웨어 공격 및 피싱 사기 등 여러 다양한(그리고 점점 더 정교해지는) 사이버 범죄에서 점점 더 많이 사용되고 있습니다. 걱정스러운 점은 이것이 하나의 독립된 사건이나 한 위협 에이전트가 벌이는 일종의 대규모 공격이 아니라는 것입니다. 이제 2023년에는 악성 HTML 첨부 파일이 전 세계의 수많은 개인 해커들이 선호하는 방법이 된 것처럼 보입니다.
HTML 첨부 파일 자체에 악성 페이로드가 존재하는 더 정교한 경우에 “HTML 스머글링”이라고 부르기도 하는 이 기술은(오래 전부터 알려졌고 수년에 걸쳐 여러 사이버 범죄자들이 사용했음에도 불구하고) 유명한 위협 행위자, NOBELIUM의 스피어 피싱 범죄를 통해 세상에 알려지게 되었습니다. 최근 몇 년 동안 이 기술은 Mekotio(악명 높은 뱅킹 트로이 목마), Trickbot, AsyncRAT/NJRAT 등과 같은 여러 가지 유명한 맬웨어를 퍼트리는 데 사용되어 왔습니다. 이 같은 유형의 사이버 범죄가 등장하여 미국 가정 세 곳 중 한 곳이 일종의 맬웨어에 감염되고 있는 상황이기 때문에 악성 HTML 첨부 파일(그리고 HTML 스머글링) 공격이 어떻게 작동하는지, 그리고 여기에 어떻게 대응해야 하는지 아는 것이 중요합니다. 그래서 우리는 여러분이 어디에서 이메일에 액세스하든 마음 놓고 할 수 있도록 HTML 첨부 파일과 HTML 스머글링에 관한 이 안내서를 만들었습니다.
악성 HTML 첨부 파일이란 무엇인가요?
악성 HTML 첨부 파일은 일종의 맬웨어로, 보통 이메일 안의 첨부 파일 형식으로 확인됩니다. 이것은 주로 사용자가 감염된 HTML 첨부 파일을 클릭하면 활성화됩니다. 일단 이 파일을 열면 사용자는 외부에서 호스팅하는 JavaScript 라이브러리를 통해 해커의 피싱 웹사이트(또는 로그인 페이지처럼 공격자가 제어하는 다른 형태의 악성 콘텐츠)로 리디렉션됩니다. 이러한 유형의 HTML 피싱 사기의 형태 중 가장 잘 알려진 것은 Microsoft 팝업창과 비슷한 모습을 하고 있을 때가 종종 있습니다. 이 창에서는 해커의 이메일에서 받은 HTML 첨부 파일을 다운로드할 수 있게 해주는 일종의 개인 자격 증명/로그인 정보를 사용자에게 요구합니다. 사용자의 세부 정보를 일단 입력하면 금융 절도, 신분 사기 및 랜섬웨어를 통한 갈취 등 추가적인 악용을 위해 그 정보가 해커에게 전송됩니다.
HTML 스머글링이란 무엇인가요?
HTML 첨부 파일 맬웨어 공격의 조금 더 기술적인 형태라고 알려진 HTML 스머글링의 경우, HTML 5와 JavaScript를 이용하여 사이버 범죄자가 직접 만든 스크립트를 HTML 첨부 파일 자체에 임베딩함으로써 피해자의 컴퓨터에 악성 코드를 "밀반입"할 수 있습니다. 공격의 피해자가 자신의 웹 브라우저에서 이 악성 HTML을 열면, 그 브라우저가 임베딩된 스크립트를 복호화하고 이 스크립트가 피해자의 컴퓨팅 장치에 페이로드를 어셈블합니다. 그러면 해커가 피해자의 방화벽 뒤에서 로컬로 맬웨어를 구축할 수 있게 됩니다.
이 같은 유형의 공격은 HTML과 JavaScript가 둘 다 신뢰할 수 있는 일상적인 컴퓨팅의 가장 흔하고 중요한 부분 중에 일부라는 점(상업적인 사용과 개인적인 사용이라는 맥락에서)을 이용합니다. 그 결과, 이 기술은 이제 트래픽 기반 서명이나 .EXE, .ZIP, .DOCX처럼 예전부터 의심스러운 것으로 간주되었던 첨부 파일 유형이 유무만 확인하는 표준 보안 제어 소프트웨어(예: 웹 프록시나 이메일 게이트웨이)를 피해갈 수가 있습니다. 악성 파일은 피해자의 장치에서 브라우저를 통해 파일이 로딩된 이후에 생성되므로, 표준 보안 솔루션들은 양성 HTML과 JavaScript 트래픽만 등록할 것입니다. 게다가, “난독화(obfuscation)”와 같은 더 발전된 사이버 범죄 기술들은 해커들로 하여금 악성 스크립트를 더 발전된 보안 소프트웨어로부터 성공적으로 숨길 수 있게 해줍니다.
HTML 스머글링은 앵커 태그의 “다운로드” 속성을 활용하고 피해자의 장치에 페이로드를 어셈블하기 위해 JavaScript Blob을 이용합니다. 일단 “다운로드” 속성이 클릭되면, HTML 파일이 “href” 태그에 참조된 악성 파일을 자동으로 다운로드하게 됩니다. JavaScript를 사용하므로 이와 유사한 프로세스가 일어나는데, JavaScript Blob가 악성 파일의 암호화된 데이터를 저장하고, 이어서 이 데이터가 URL을 기대하는 JavaScript API로 전송되면 복호화됩니다. 이 말은 악성 파일이 자동으로 다운로드되고 JavaScript 코드를 이용하여 피해자의 장치에 로컬로 구조화된다는 뜻입니다.
기타 악성 이메일 첨부 파일 유형
사용자의 시스템에 맬웨어를 몰래 심어주는 첨부 파일의 가장 흔한 유형들 중 하나가 HTML이지만, 이와 똑같이 위험할 수 있는 다른 흔한 파일 유형들에 대해서도 아는 것이 중요합니다.
.EXE 파일
전술한 것처럼, Windows 운영체제에서 .EXE 파일 또는 실행 파일은 조심해야 할 흔한(그리고 잘 알려진) 위협 매개체입니다. 이메일(신뢰할 수 있는 발신자 또는 기타)에 이런 것들 중 하나가 보인다면 그 파일을 다운로드해서 실행하는 것을 삼가는 것이 좋습니다.
.ISO 파일
ISO 파일은 보통 컴퓨터의 디스크 드라이브에 있는 모든 것의 사본을 저장하고 교환하고 Apple이나 Windows 같은 시스템을 분배하는 데 사용됩니다. 이제 Windows에서 별도의 소프트웨어 없이 이 파일들을 마운트할 수 있기 때문에, 최근 몇 년 사이에 이 같은 유형의 맬웨어 첨부 파일이 인기를 얻었습니다. 하지만 개인 이메일 계정이나 업무 이메일 계정을 통해 이 파일을 받고 전체 시스템을 요청하지 않았거나 여러 개의 운영체제를 실행하기 위해 컴퓨터 파티셔닝을 하지 않을 거라면 이 파일을 가지고 있을 필요가 없습니다. 따라서, 이 파일은 맬웨어임이 거의 확실하므로, 이 파일을 다운로드하지 말고 받은 편지함에서 삭제하세요.
Microsoft Office 파일
Microsoft Office 파일(예: .DOCX, .XLSX, .PPTX)은 세계적으로 사용되는 표준 업무 포맷이기 때문에, 의심이 적은 기업들에 모든 종류의 맬웨어를 전송하기에 매우 적합한 매개체입니다. 그리고 이 파일들은 보호하기 가장 어려운 유형에 속하며, 보통은 긴급한 송장이나 최후 통첩장의 형태로 제시되어 피해자로 하여금 파일을 열어보게 만듭니다.
악성 HTML 첨부 파일로부터 보호하는 방법
다행히 악성 HTML 첨부 파일로 인한 위협을 완화하고 이로부터 보호하기 위해 우리가 취할 수 있는 여러 가지 방법이 있습니다.
이메일 검사 및 보호 시스템
악성 이메일 첨부 파일과 임베디드 스크립트에 대한 첫 번째 방어 수단으로 전용 이메일 검사 및 보호 시스템이 있습니다. 하지만 위에서 서술한 것처럼, 오늘날의 사이버 범죄자들이 제기하는 진화하는 위협에 대응하려면 표준 보안 시스템은 충분하지 않습니다. 오늘날 사이버 보안 전문가들에 따르면, 머신 러닝과 정적 코드 분석을 기반으로 이메일의 첨부 파일과 이메일의 실제 내용을 평가하는 백신 솔루션을 사용하는 것이 좋습니다. 발전된 온라인 사이버 보안 솔루션을 원한다면 Kaspersky Premium을 권장합니다. 수상 경력에 빛나는 시스템으로, 기업과 개인 사용자가 모두 사용할 수 있는 프리미엄 패키지에는 원격 및 연중무휴 지원이 함께 제공됩니다.
엄격한 액세스 제어
자격 증명의 침해나 손실이 발생하더라도, 사이버 범죄자가 현실적으로 가할 수 있는 피해를 줄이기 위해서는 사용자 액세스를 필수 직원으로 한정하는 것이 좋습니다. 또한, 사이버 보안 전략을 한층 더 강화하여 노출을 추가로 더 줄이기 위해, 중요 시스템에 대한 액세스 권한을 실제로 갖고 있는 사용자로 하여금 다단계 인증(MFA, 2단계 인증, 또는 2FA라고도 함)을 사용하게 하는 것이 좋습니다. 그리고 직원의 액세스 실수로부터 핵심 자산을 보호하는 중요한 방법(특히 직원이 원격 근무를 할 경우)은 가상 사설망(VPN)을 사용하는 것입니다. Kaspersky VPN을 사용하면 사용자가 암호화된 디지털 터널을 통해 회사 서버에 원격으로 연결할 수 있습니다. 이 터널은 사용자가 어디에 있든 사용자의 시스템을 공용 Wi-Fi와 안전하지 않은 인터넷 연결의 잠재적 위험 요소들로부터 보호해줍니다.
사이버 보안 교육 및 모범 사례
귀중한 자산을 HTML 첨부 파일 공격으로부터 안전하게 보호하는 가장 손쉬운 방법들 중 하나는 사이버 보안 모범 사례, 그리고 의심스러운 이메일과 파일 및 첨부 파일을 포착하는 방법과 관련하여 직원들을 교육하거나 스스로 학습하는 것입니다. 여기에는 암호나 업무용 로그인 자격 증명을 그 어떤 것도 동료들과 공유하지 않기, 암호를 여러 개의 소프트웨어나 계정에 재사용하지 않기(암호를 암호화해서 필요할 때 하나씩 자동으로 입력해주는 Password Manager나 Vault 사용을 권장), 그리고 항상 강력한 암호나 암호문(길이는 10~12자이고 특수문자, 숫자, 대문자, 소문자를 포함) 사용하기 등이 포함됩니다.
HTML 첨부 파일 FAQ
HTML 첨부 파일이란 무엇인가요?
HTML 첨부 파일은 이메일에 첨부된 파일로, 하이퍼텍스트 마크업 언어로 코딩된 것입니다. 지난 몇 년 사이에 악성 HTML 첨부 파일(임베딩된 맬웨어나 피싱 웹사이트로 연결되는 JavaScript 기반의 링크가 포함된 파일)이 이메일 방화벽과 보호 시스템을 우회하려는 사이버 범죄자들에게 인기 있는 매개체가 되었습니다.
HTML 파일에 바이러스가 들어있을 수 있나요?
예, HTML 파일에는 바이러스가 포함되어 있을 수 있으며 피싱 사기나 랜섬웨어 같은 다른 종류의 맬웨어가 포함되어 있을 수 있습니다. 이러한 유형의 사이버 공격을 HTML 첨부 파일 또는 HTML 스머글링 공격이라고 합니다. 가짜 로그인 창이나 임베딩된 맬웨어로 연결되는 JavaScript 링크를 이용하여 사용자의 자격 증명과 개인 파일을 악용하는 경우가 여기에 해당됩니다.
HTML 파일이 위험할 수 있나요?
예, HTML 파일(이메일의 첨부 파일 포함)은 시스템에 매우 위험할 수 있습니다. 사이버 범죄 전문가들에 따르면, 최근 몇 년 동안 악성 HTML 첨부 파일을 이용하여 개인 정보를 훔치는 정교한 사이버 공격이 증가하였습니다. 이 같은 유형의 공격을 HMTL 스머글링이라고 부르기도 합니다.
HTML 스머글링이란 무엇인가요?
HTML 스머글링은 하이퍼텍스트 마크업 언어(보통 HTML 5)와 JavaScript를 이용하여 사용자의 시스템에 다양한 형태의 맬웨어를 “몰래 심는” 사이버 공격으로, 그 사용 빈도가 점차 늘고 있는 추세입니다. 이 방법을 사용하면 기존의 이메일 보호 프로토콜을 우회할 수 있어서 해커가 피해자의 방화벽 뒤에서 로컬로 맬웨어를 구축할 수 있게 됩니다.
추천 제품: