cd ../blog
MITRE

파일 확장자 위장 공격: 텍스트 파일이 악성코드인 이유 | T1036.007

읽는 시간 약 6분
조회수 1
MITRE ATT&CKT1036.007파일 확장자 위장

해커가 파일명을 조작해 악성코드를 숨기는 방법. Kimsuky, Mustang Panda 실제 사례 분석과 탐지 우회 원리까지. 지금 확인하세요.

share:

MITRE ATT&CK: T1036.007 (Double File Extension) | 전술: Defense Evasion | 플랫폼: Linux, Windows, macOS

도입: 왜 이 공격이 중요한가

이메일로 받은 "회사소개서.pdf" 파일을 클릭했는데 갑자기 PC가 이상해졌다면? 실제로는 "회사소개서.pdf.exe"였을 수도 있거든요.

Double File Extension 공격은 파일명에 두 개의 확장자를 붙여서 사용자를 속이는 기법입니다. 첫 번째 확장자는 안전해 보이게 하고, 두 번째 확장자가 실제 파일 형식을 결정하죠. Windows가 기본적으로 확장자를 숨기기 때문에 가능한 공격이에요.

💡 쉬운 비유: 양복을 입은 강도라고 생각해보세요. 겉보기엔 신사 같지만, 실제로는 위험한 존재인 거죠.

1. 공격자 관점

왜 이 기법을 사용하는가

  • 사용자 신뢰 악용: PDF, 문서 파일처럼 보이니까 사용자가 의심 없이 클릭
  • OS 기본 설정 이용: Windows는 기본적으로 확장자를 숨기므로 탐지가 어려움
  • 백신 우회: 파일명만 봐서는 의심스럽지 않아서 초기 스캔을 통과할 수 있음

동작 흐름

💡 쉬운 비유: 선물 포장지 두 겹을 씌운 것과 같아요. 겉포장은 예쁘지만, 안쪽에는 전혀 다른 게 들어있는 거죠.

2. 실제 공격 사례

📌 Kimsuky - DEEP#DRIVE 캠페인 (2024년)

배경: 북한의 Kimsuky 그룹이 신뢰할 만한 플랫폼을 악용해 표적 공격을 수행한 사례입니다. 정부 기관과 연구소를 주요 타겟으로 삼았어요.

공격 과정:

  1. 스피어피싱 이메일에 악성 LNK 파일을 첨부
  2. 파일명을 "보고서.pdf.lnk"로 설정해 PDF 문서처럼 위장
  3. 사용자가 클릭하면 실제로는 LNK 파일이 실행되어 추가 페이로드 다운로드

피해 규모: 다수의 한국 정부 기관과 연구소가 표적이 되었으며, 민감한 정보 탈취 시도

출처: Analyzing DEEP#DRIVE: North Korean Threat Actors

📌 Mustang Panda - 소수민족 타겟 캠페인 (2018-2019년)

배경: 중국 기반 APT 그룹인 Mustang Panda가 몽골 항공사와 중국 관련 비영리 단체를 표적으로 한 장기간 캠페인이었습니다.

공격 과정:

  1. UN 안보리 결의안 관련 문서로 위장한 이메일 발송
  2. 첨부파일을 "UN_resolution.doc.exe" 형태로 명명
  3. 피해자가 문서로 착각하고 실행하면 백도어 설치

피해 규모: 몽골 MIAT 항공사와 여러 비영리 단체의 내부 시스템 침투

출처: Meet CrowdStrike's Adversary of the Month: MUSTANG PANDA

📌 Bazar 로더 - Team9 개발 사이클 (2020년)

배경: Team9 그룹이 개발한 Bazar 로더가 미국과 유럽의 전문 서비스, 의료, 제조업체를 표적으로 한 캠페인입니다.

공격 과정:

  1. "PreviewReport.DOC.exe" 같은 이중 확장자 파일 생성
  2. Twilio SendGrid 이메일 플랫폼을 통해 대량 배포
  3. 문서로 오인한 사용자가 실행하면 추가 랜섬웨어 배포

피해 규모: 미국과 유럽의 수백 개 기업이 표적이 되었으며, 일부는 랜섬웨어 감염으로 이어짐

출처: A BAZAR OF TRICKS: FOLLOWING TEAM9'S DEVELOPMENT CYCLES

3. 왜 탐지가 어려운가?

공식 탐지 방법

DET0366 Double File Extension Masquerading 탐지 전략: 첫 번째 확장자는 안전해 보이지만(.txt, .jpg 등) 두 번째 확장자가 위험한(.exe, .scr 등) 파일의 생성과 실행을 탐지하는 방법

공격자가 이 기법을 선호하는 이유

  • 인간 심리 악용: 사람들은 첫 번째 확장자만 보고 판단하는 경향이 있어요
  • OS 기본 설정의 허점: Windows가 기본적으로 확장자를 숨기니까 완벽한 위장이 가능
  • 소셜 엔지니어링과 조합: 업무 관련 문서로 위장하면 의심받지 않음

탐지의 현실적 한계

공식 탐지 방법이 있긴 하지만, 실제 환경에서는 여러 한계가 있어요. 파일 생성과 실행을 모두 모니터링해야 하는데, 이게 생각보다 어렵거든요. 특히 일반 사용자들이 매일 수많은 파일을 다운로드하고 실행하니까 정상적인 활동과 구분하기가 쉽지 않죠.

또한 많은 기업들이 아직도 Windows 기본 설정(확장자 숨김)을 그대로 사용하고 있어서, 사용자들이 실제 파일 형식을 확인할 방법이 없는 경우가 많아요.

4. 나도 위험할까? 자가 진단

이 공격이 나와 관련 있는지 확인해보세요.

이런 환경이라면 주의가 필요합니다

  • Windows PC에서 파일 확장자가 기본적으로 숨겨져 있음
  • 이메일로 받은 첨부파일을 자주 열어보는 편임
  • 파일을 다운로드할 때 확장자를 확인하지 않고 바로 실행함
  • 업무상 외부에서 문서 파일을 자주 받아서 처리해야 함

공식 대응 방안

M1028 운영체제 설정: Windows에서 "알려진 파일 형식의 확장명 숨김" 기본 옵션을 비활성화하여 모든 파일 확장자가 표시되도록 설정

M1017 사용자 교육: 파일명에서 이중 확장자를 찾는 방법을 교육하고, 일반적인 피싱 및 스피어피싱 기법에 대한 인식을 높이는 교육 실시

당장 할 수 있는 것

  • Windows 탐색기에서 "보기" → "파일 확장명" 체크박스를 활성화해서 모든 확장자가 보이도록 설정
  • 이메일 첨부파일을 열기 전에 파일명 전체를 확인하고, 의심스러운 이중 확장자가 있는지 점검하기
  • 🏢 보안 담당자: 이메일 게이트웨이에서 이중 확장자 파일을 자동으로 차단하는 규칙 설정 및 사용자 교육 프로그램 운영

5. 관련 기술

기법설명링크
T1566.001 Spearphishing Attachment이중 확장자 파일을 이메일 첨부로 전송하여 초기 침투 달성MITRE 참고
T1204.002 User Execution사용자가 위장된 파일을 직접 실행하도록 유도하는 기법MITRE 참고
T1036 Masquerading파일명뿐만 아니라 아이콘, 메타데이터까지 조작하여 정상 파일로 위장MITRE 참고

참고 자료

📌 이 글은 AI(Claude) 를 활용하여 작성되었으며, MITRE ATT&CK (최신 버전) 을 기준으로 합니다. 본 콘텐츠는 보안 교육 및 방어 목적으로만 제공되며, 이를 악용한 불법 행위에 대한 책임은 전적으로 행위자 본인에게 있습니다.

COMMENTS (0)

댓글은 익명으로 작성되며, 삭제 비밀번호를 설정하면 본인만 삭제할 수 있습니다. 비밀번호를 설정하지 않은 댓글은 누구나 삭제할 수 있습니다.