cd ../blog
MITRE

파일명 공백 위장: 확장자를 숨겨 탐지를 우회하는 원리 | T1036.006

읽는 시간 약 5분
조회수 6
MITRE ATT&CKT1036.006macOS 보안파일 위장

해커가 evil.txt로 위장한 실행파일을 더블클릭만으로 실행시키는 방법. APT38 실제 공격 분석, macOS 탐지 우회 원리, 방어 스크립트까지. 지금 확인하세요.

share:
파일명 공백 위장: 확장자를 숨겨 탐지를 우회하는 원리 | T1036.006

MITRE ATT&CK: T1036.006 (Space after Filename) | 전술: Defense Evasion | 플랫폼: Linux, macOS

도입: 왜 이 공격이 중요한가

당신이 맥에서 받은 파일 report.txt를 더블클릭했는데 갑자기 터미널이 실행되면서 악성코드가 돌아간다면? 파일명 끝에 보이지 않는 공백 하나로 macOS를 완전히 속일 수 있거든요.

Space after Filename 은 파일명 마지막에 공백을 추가해서 파일의 실제 타입을 숨기는 기법입니다. 사용자는 텍스트 파일이라고 생각하고 클릭하지만, 실제로는 실행 파일이 돌아가는 거죠.

💡 쉬운 비유: 가면을 쓴 배우처럼, 악성 실행파일이 텍스트 파일 탈을 쓰고 있는 상황입니다.

1. 공격자 관점

왜 이 기법을 사용하는가

  • 사용자 신뢰 악용: 텍스트나 문서 파일로 위장해서 의심 없이 클릭하게 만들 수 있음
  • 보안 솔루션 우회: 파일 확장자 기반 검사를 피할 수 있어서 백신 탐지율이 낮아짐
  • 간단한 구현: 파일명에 공백만 추가하면 되니까 기술적 난이도가 매우 낮음

동작 흐름

실제로는 evil.txt (끝에 공백)인데, 사용자는 일반 텍스트 파일로 보이거든요. 근데 macOS는 파일명 끝에 공백이 있으면 확장자를 무시하고 Terminal.app을 통해 바이너리로 실행해버립니다.

2. 실제 공격 사례

📌 APT38 - BlueNoroff 캠페인 (2022)

배경: 북한 연계 해킹그룹 APT38이 금융기관을 타겟으로 한 BlueNoroff 작전에서 이 기법을 활용했습니다. 암호화폐 거래소와 금융 서비스 업체들이 주요 표적이었어요.

공격 과정:

  1. 피싱 이메일로 가짜 투자 문서나 보고서를 첨부파일로 전송
  2. 확장자 앞에 다수의 공백을 넣어 실제 확장자(.exe)를 화면 밖으로 밀어내 문서 파일로 위장
  3. 사용자가 문서라고 생각하고 더블클릭하면 백도어가 설치됨

피해 규모: 다수의 금융기관에서 수백만 달러 규모의 암호화폐 탈취

출처: BlueNoroff introduces new methods bypassing MoTW

📌 Keydnap - macOS 키로거 (2016)

배경: 2016년에 발견된 macOS 타겟 키로거 악성코드로, 사용자의 키보드 입력을 몰래 기록하는 것이 목적이었습니다.

공격 과정:

  1. 가짜 이미지 파일로 위장 (photo.jpg - 끝에 공백)
  2. 사용자가 사진이라고 생각하고 더블클릭
  3. 실제로는 Terminal.app을 통해 악성코드가 실행되면서 키로거 설치

피해 규모: macOS 사용자들의 개인정보 및 인증정보 대량 탈취

출처: Mac Malware of 2016

3. 왜 탐지가 어려운가?

공식 탐지 방법

DET0292 Masquerading via Space After Filename - Behavioral Detection Strategy: 파일명에 후행 공백이 포함된 파일 실행을 탐지하는 방법입니다. 명령줄 인터프리터가 후행 공백이 있는 파일명을 처리하는 방식을 악용하는 것을 감지할 수 있어요.

공격자가 이 기법을 선호하는 이유

  • 육안 식별 불가: 파일명 끝의 공백은 Finder나 터미널에서 보이지 않아서 사용자가 알아차리기 어려움
  • 자동화 도구 우회: 대부분의 보안 솔루션이 파일 확장자만 체크하기 때문에 evil.txt 를 텍스트 파일로 인식
  • OS 레벨 동작: macOS 자체의 파일 처리 메커니즘을 악용하는 거라 근본적인 차단이 어려움

탐지의 현실적 한계

공식 탐지 방법이 있어도 실제 환경에서는 한계가 많아요. 파일명에 공백이 있는 정상 파일들도 존재하니까 false positive가 높고, 모든 파일 실행을 실시간 모니터링하려면 시스템 성능에 영향을 줄 수밖에 없거든요.

4. 나도 위험할까? 자가 진단

이 공격이 나와 관련 있는지 확인해보세요.

이런 환경이라면 주의가 필요합니다

  • macOS를 사용하면서 이메일 첨부파일을 자주 열어보는 편
  • 파일 확장자 표시 옵션을 켜두지 않아서 .txt, .jpg 등이 보이지 않음
  • 업무상 외부에서 받은 문서나 이미지 파일을 바로 실행하는 경우가 많음
  • Gatekeeper나 XProtect 같은 macOS 보안 기능을 비활성화한 상태

공식 대응 방안

현재 MITRE에서 공식적으로 제시된 특정 대응 방안은 없지만, 일반적인 Defense Evasion 기법에 대한 대응이 적용됩니다.

당장 할 수 있는 것

  • Finder 설정에서 "모든 파일명 확장자 보기" 옵션을 활성화해서 실제 파일 타입을 확인하기
  • 의심스러운 파일은 더블클릭 대신 우클릭으로 "연결 프로그램" 메뉴를 확인한 후 실행하기
  • 🏢 보안 담당자: 파일 실행 로그 모니터링 시스템에서 파일명 끝 공백 패턴을 탐지하는 규칙 추가

5. 관련 기술

기법어떤 상황에서 함께 사용되나
T1036.005 Match Legitimate Name or Location공백으로 위장한 후 정상 시스템 파일명을 사용해서 이중 위장 효과를 노릴 때
T1036.004 Masquerade Task or Service실행된 악성코드가 정상 서비스나 작업으로 위장해서 지속성을 확보할 때
T1566.001 Spearphishing Attachment위장된 파일을 피싱 이메일 첨부파일로 전송하는 초기 침투 단계에서

참고 자료

📌 이 글은 AI(Claude) 를 활용하여 작성되었으며, MITRE ATT&CK (최신 버전) 을 기준으로 합니다. 본 콘텐츠는 보안 교육 및 방어 목적으로만 제공되며, 이를 악용한 불법 행위에 대한 책임은 전적으로 행위자 본인에게 있습니다.

COMMENTS (0)

댓글은 익명으로 작성되며, 삭제 비밀번호를 설정하면 본인만 삭제할 수 있습니다. 비밀번호를 설정하지 않은 댓글은 누구나 삭제할 수 있습니다.