cd ../blog
MITRE

파일명 위장 공격: .exe를 .pdf로 속이는 원리 | T1036.002

읽는 시간 약 6분
조회수 10
MITRE ATT&CKT1036.002파일 위장스피어피싱

Right-to-Left Override로 악성코드가 정상 문서처럼 보이게 만드는 기법. BlackTech, Ke3chang 실제 공격 사례와 탐지 방법까지. 지금 확인하세요.

share:
파일명 위장 공격: .exe를 .pdf로 속이는 원리 | T1036.002

MITRE ATT&CK: T1036.002 (Right-to-Left Override) | 전술: Defense Evasion | 플랫폼: Linux, macOS, Windows

도입: 왜 이 공격이 중요한가

"회사에서 받은 중요한 계약서.pdf"라고 생각하고 파일을 클릭했는데, 사실은 악성코드였다면? 이게 바로 Right-to-Left Override 공격의 무서운 점이에요. 파일명이 계약서.pdf로 보이지만 실제로는 계약서fdp.exe 같은 실행 파일일 수 있거든요.

유니코드의 특수 문자 하나만으로 사용자의 눈을 완전히 속일 수 있는 기법입니다. 기술적 지식이 없어도 쉽게 사용할 수 있어서 많은 공격자들이 애용하고 있어요.

1. 공격자 관점

왜 이 기법을 사용하는가

  • 완벽한 시각적 속임수: 파일 탐색기에서 봤을 때 완전히 다른 확장자로 보임
  • 기술적 진입장벽 낮음: 유니코드 문자 하나만 넣으면 되니까 누구나 쉽게 사용 가능
  • 탐지 도구 우회: 많은 보안 도구들이 파일명의 시각적 표현과 실제 구조의 차이를 놓침

동작 흐름

💡 쉬운 비유: 책 제목을 거꾸로 인쇄해서 "소설집"처럼 보이게 하지만, 실제로는 "집설소"라고 쓰여있는 것과 같아요.

2. 실제 공격 사례

📌 BlackTech - PLEAD 캠페인 (2012-2017)

배경: 대만 정부 기관과 민간 기업을 대상으로 한 장기간 사이버 스파이 활동이었어요. 주로 기술 정보 탈취가 목적이었죠.

공격 과정:

  1. 스피어피싱 이메일에 Right-to-Left Override 문자가 포함된 첨부파일 사용
  2. 파일명이 정상 문서처럼 보이도록 위장하여 피해자가 의심 없이 실행하도록 유도
  3. PLEAD 백도어와 DRIGO 정보 탈취 도구가 설치되어 지속적인 정보 수집 진행

피해 규모: 대만 정부 기관 다수와 민간 기업들이 4년 이상 지속적으로 감시당함

출처: Following the Trail of BlackTech's Cyber Espionage Campaigns

📌 Ke3chang - 외교부 타겟 공격 (2010-2014)

배경: 전 세계 외교부 기관들을 대상으로 한 정교한 사이버 스파이 작전이었습니다. 외교 기밀 정보 획득이 주 목적이었어요.

공격 과정:

  1. Right-to-Left Override 문자를 활용해 .scr, .exe 파일을 정상 문서로 위장
  2. 외교관들에게 업무와 관련된 내용으로 스피어피싱 이메일 발송
  3. 피해자가 파일을 실행하면 백도어가 설치되어 장기간 정보 수집 활동 진행

피해 규모: 전 세계 여러 국가의 외교부 기관이 피해를 입었으며, 4년간 지속된 것으로 확인됨

출처: OPERATION "KE3CHANG": Targeted Attacks Against Ministries of Foreign Affairs

📌 Scarlet Mimic - 소수민족 활동가 표적 공격 (2009-2016)

배경: 중국 내 소수민족 인권 활동가들을 장기간 감시하기 위한 사이버 스파이 작전이었어요. 개인 정보와 활동 내역 수집이 목적이었죠.

공격 과정:

  1. Left-to-Right Override 문자를 사용한 자체 압축 해제 RAR 파일로 위장
  2. 인권 활동과 관련된 내용으로 포장하여 활동가들에게 스피어피싱 이메일 발송
  3. 파일 실행 시 다양한 플랫폼(Windows, Mac, Android)용 악성코드가 설치됨

피해 규모: 7년간 지속된 공격으로 다수의 소수민족 활동가들이 지속적인 감시를 당함

출처: Scarlet Mimic: Years-Long Espionage Campaign Targets Minority Activists

3. 왜 탐지가 어려운가?

공식 탐지 방법

[DET0527] Right-to-Left Override Masquerading Detection via Filename and Execution Context - AN1461: 파일명에 Right-to-Left Override 문자(U+202E)가 포함된 파일의 실행을 탐지하는 방법입니다. 주로 피싱 공격이나 파일 다운로드 과정에서 발견되죠.

공격자가 이 기법을 선호하는 이유

시각적 완벽성: 사용자가 파일 탐색기에서 봤을 때 완전히 다른 파일로 보여요. 기술적 지식이 있는 사람도 자세히 보지 않으면 속을 정도거든요.

도구의 한계: 많은 보안 도구들이 파일명의 시각적 표현만 확인하고, 실제 유니코드 구조까지는 분석하지 않아요.

사회공학적 효과: 업무와 관련된 문서로 위장하면 사용자들이 의심 없이 클릭하게 됩니다.

탐지의 현실적 한계

공식 탐지 방법이 있다고 해도 실제 구현은 쉽지 않아요. 모든 파일명을 유니코드 레벨에서 검사해야 하는데, 이건 상당한 성능 오버헤드를 발생시키거든요. 또한 정상적인 다국어 파일명과 구별하는 것도 까다로워서 오탐이 많이 발생할 수 있어요.

4. 나도 위험할까? 자가 진단

이 공격이 나와 관련 있는지 확인해보세요.

이런 환경이라면 주의가 필요합니다

  • 업무상 외부에서 이메일 첨부파일을 자주 받는 환경
  • 파일 확장자 표시 설정이 꺼져 있어서 .exe, .scr 등이 보이지 않음
  • 다국어(아랍어, 히브리어 등) 문서를 다루는 업무 환경
  • 파일명의 이상한 점을 확인하는 습관이 없음

당장 할 수 있는 것

  • Windows 파일 탐색기에서 "파일 확장명" 표시 옵션을 켜두세요. 이렇게 하면 실제 파일 형식을 확인할 수 있어요.
  • 이메일 첨부파일 실행 전에 파일명을 텍스트 편집기에 복사해서 붙여넣어 보세요. 이상한 문자가 있으면 파일명이 뒤바뀌어 나타날 거예요.
  • 🏢 보안 담당자: 이메일 게이트웨이에서 U+202E 문자가 포함된 첨부파일을 자동 차단하는 정책을 설정하세요.

5. 관련 기술

기법어떤 상황에서 함께 사용되나
T1566.001 Spearphishing AttachmentRight-to-Left Override 로 위장한 악성 파일을 스피어피싱 이메일의 첨부파일로 전송할 때
T1204.002 Malicious File사용자가 위장된 파일명을 보고 악성 파일을 실행하도록 유도할 때

참고 자료

📌 이 글은 AI(Claude) 를 활용하여 작성되었으며, MITRE ATT&CK (최신 버전) 을 기준으로 합니다. 본 콘텐츠는 보안 교육 및 방어 목적으로만 제공되며, 이를 악용한 불법 행위에 대한 책임은 전적으로 행위자 본인에게 있습니다.

?뱛 ??湲€?€ [?꾩옣 湲곕쾿(T1036) ?쒕━利?(/blog/attack-security-file-t1036-v5w5uamj)???쇰??낅땲??

COMMENTS (0)

댓글은 익명으로 작성되며, 삭제 비밀번호를 설정하면 본인만 삭제할 수 있습니다. 비밀번호를 설정하지 않은 댓글은 누구나 삭제할 수 있습니다.