MITRE ATT&CK: T1036.008 (Masquerade File Type) | 전술: Defense Evasion | 플랫폼: Linux, macOS, Windows
도입: 왜 이 공격이 중요한가
2022년 AvosLocker 랜섬웨어가 기업들을 공격했을 때, 보안팀들은 이상한 점을 발견했습니다. 암호화 키가 담긴 설정 파일이 .jpg 이미지로 위장되어 있었거든요. 클릭해도 사진이 열리지 않는 "깨진 이미지"처럼 보였지만, 실제로는 랜섬웨어의 핵심 구성 요소였죠.
T1036.008 Masquerade File Type 은 악성 파일의 확장자나 파일 헤더를 조작해서 정상 파일로 위장하는 기법입니다. .exe 실행 파일을 .txt 텍스트로, .php 백도어를 .gif 이미지로 둔갑시켜 보안 솔루션과 사용자의 눈을 속이는 거죠.
💡 쉬운 비유: 늑대가 양의 털을 뒤집어쓰고 양떼 사이에 숨어드는 것과 같습니다. 겉모습만 보면 무해한 양이지만, 속은 여전히 위험한 늑대인 셈이에요.
1. 공격자 관점
왜 이 기법을 사용하는가
- 보안 솔루션 우회: 대부분의 안티바이러스는 파일 확장자를 기준으로 1차 검사를 수행하므로, .txt나 .jpg 파일은 의심하지 않음
- 사용자 신뢰 악용: 일반 사용자들은 텍스트 파일이나 이미지 파일을 안전하다고 생각해 쉽게 클릭함
- 네트워크 필터링 우회: 많은 기업 방화벽이 실행 파일 전송을 차단하지만, 이미지나 문서 파일은 허용함
동작 흐름
공격자는 여러 단계를 거쳐 파일 타입을 위장합니다:
| 단계 | 설명 |
|---|---|
| 1. 매직 바이트 조작 | 파일 헤더의 시그니처를 정상 파일 형식으로 변경 (예: JPEG의 0xFF 0xD8) |
| 2. 확장자 변경 | 실행 파일(.exe)을 이미지(.jpg) 또는 문서(.txt) 확장자로 변경 |
| 3. 아이콘 위장 | Windows에서 파일 아이콘을 정상 파일 타입으로 표시되도록 설정 |
| 4. 폴리글롯 생성 | 하나의 파일이 여러 형식으로 해석되도록 구조 설계 |
| 5. 전송 및 실행 | 위장된 파일을 이메일 첨부나 파일 공유로 배포 |
실제로는 파일을 실행할 때 운영체제가 매직 바이트를 확인해서 진짜 파일 타입을 판단하거든요. 그래서 .jpg로 위장한 .exe 파일도 더블클릭하면 실행됩니다.
2. 실제 공격 사례
📌 Turla(APT28) - ANDROMEDA 작전 (2022년)
배경: 러시아 연계 APT 그룹인 Turla가 우크라이나 조직들을 대상으로 한 정교한 공급망 공격입니다. 기존에 유포되던 ANDROMEDA 악성코드의 C&C 도메인을 탈취해서 자신들의 백도어를 배포했죠.
공격 과정:
- 만료된 ANDROMEDA C&C 도메인 3개를 재등록해서 기존 감염자들과 연결
- LNK 파일을 폴더로 위장해서 KOPILUWAK 정찰 도구와 QUIETCANARY 백도어 배포
- USB를 통해 전파되면서 우크라이나 내 여러 산업 분야로 확산
피해 규모: 우크라이나 전역의 정부기관, 에너지, 통신 분야 다수 조직 감염
출처: Turla: A Galaxy of Opportunity
📌 AvosLocker 랜섬웨어 - 중요 인프라 공격 (2021-2022년)
배경: RaaS(Ransomware-as-a-Service) 모델로 운영되는 AvosLocker가 미국, 캐나다, 영국, 스페인의 중요 인프라를 타겟으로 한 공격입니다. 특히 원격 관리 도구인 AnyDesk를 악용한 것으로 유명하죠.
공격 과정:
- 초기 침투 후 AnyDesk 원격 도구를 설치해서 지속적 접근 확보
- 암호화 키가 포함된 설정 파일을 .jpg 이미지로 위장해서 탐지 회피
- 데이터 암호화와 동시에 훔친 정보로 이중 갈취 협박 실행
피해 규모: FBI 보고서에 따르면 미국 내 중요 인프라 다수 피해, 구체적 피해액은 미공개
출처: Ransomware Spotlight: AvosLocker
📌 Brute Ratel C4 - 펜테스트 도구 악용 (2022년)
배경: 원래 레드팀용으로 개발된 Brute Ratel C4가 실제 공격에 악용된 사례입니다. 이 도구는 EDR과 AV 탐지를 피하도록 특별히 설계되어서 VirusTotal 56개 엔진 모두가 정상 파일로 판정할 정도였어요.
공격 과정:
- 악성 LNK 파일에 Microsoft Word 아이콘을 적용해서 문서로 위장
- Amazon Web Services를 C&C 서버로 활용해 의심을 피함
- 메모리상에서만 동작하는 필라멘트리스(fileless) 공격으로 흔적 최소화
피해 규모: APT29 등 고급 공격 그룹들이 채택해서 전 세계 기업 대상 공격에 활용
출처: When Pentest Tools Go Brutal
3. 왜 탐지가 어려운가?
공식 탐지 방법
[DET0226] 파일 타입 변조를 통한 위장 탐지 전략: 실행 불가능하거나 오해의 소지가 있는 확장자(.jpg, .txt 등)로 생성/수정된 파일이 내부 파일 헤더나 비정상적인 부모 프로세스 계보를 기반으로 실제로는 실행 파일로 동작하는 행위를 탐지합니다. 폴리글롯 파일이나 위장을 나타내는 잘못된 매직 바이트 식별도 포함됩니다.
공격자가 이 기법을 선호하는 이유
사용자 인식의 한계: 일반 사용자들은 파일 확장자만 보고 안전성을 판단하는 경우가 많거든요. .jpg나 .txt 파일이라고 표시되면 의심 없이 클릭하게 됩니다.
보안 솔루션의 성능 문제: 모든 파일의 헤더를 실시간으로 분석하면 시스템 성능이 크게 저하됩니다. 그래서 많은 보안 제품들이 확장자 기반 필터링을 1차로 사용하죠.
폴리글롯 파일의 복잡성: 하나의 파일이 여러 형식으로 해석될 수 있도록 만든 폴리글롯 파일은 정적 분석으로는 진짜 의도를 파악하기 어렵습니다.
탐지의 현실적 한계
높은 오탐률: 정상적인 파일도 손상되거나 특수한 용도로 만들어진 경우 의심스러운 헤더를 가질 수 있어요. 특히 개발 환경에서는 테스트용 파일들이 많아서 오탐이 빈발합니다.
네트워크 트래픽 분석의 한계: 암호화된 통신에서는 파일 내용을 검사하기 어렵고, 클라우드 서비스를 통한 파일 공유는 더욱 탐지가 복잡해집니다.
실시간 분석 부담: 기업 환경에서 매일 수천, 수만 개의 파일이 오가는데 모든 파일의 헤더를 심층 분석하는 건 현실적으로 불가능하죠.
4. 나도 위험할까? 자가 진단
이 공격이 나와 관련 있는지 확인해보세요.
이런 환경이라면 주의가 필요합니다
- 이메일 첨부파일을 자주 받아서 열어보는 업무 환경
- USB나 외부 저장장치를 통해 파일을 주고받는 경우
- 파일 공유 서비스(구글 드라이브, 드롭박스 등)를 업무용으로 사용
- Windows 탐색기에서 파일 확장자가 숨겨져 있는 설정
공식 대응 방안
[M1049] 안티바이러스/안티맬웨어: 의심스러운 파일을 자동으로 격리하기 위해 안티바이러스를 사용할 수 있습니다.
[M1040] 엔드포인트 행위 차단: HIPS(Host Intrusion Prevention System)와 같은 엔드포인트 보안 제어를 구현하여 파일 시그니처가 일치하지 않는 파일의 실행을 식별하고 방지합니다.
[M1038] 실행 방지: 실행 전에 입력 검증과 파일 유효성 검사가 제대로 수행되도록 하고, 승인된 파일 타입만 처리되도록 엄격한 허용 목록을 구현합니다. 헤더와 확장자가 일치하지 않는 파일의 실행을 제한 및/또는 차단합니다.
당장 할 수 있는 것
- Windows 탐색기에서 "알려진 파일 형식의 파일 확장명 숨기기" 옵션을 해제해서 실제 확장자를 항상 표시하도록 설정
- 이메일 첨부파일을 열기 전에 발신자 확인하고, 예상하지 못한 파일은 별도 확인 후 실행하기
- 🏢 보안 담당자: 파일 업로드 시 헤더 검증과 확장자 일치 여부를 확인하는 보안 정책 수립 및 SIEM 룰 적용
5. 관련 기술
| 기법 | 설명 | 링크 |
|---|---|---|
| T1036.007 더블 파일 확장자 | 파일명에 두 개의 확장자를 사용해서 진짜 확장자를 숨기는 기법으로, 파일 타입 위장과 함께 사용되는 경우가 많음 | 상세 분석 보기 |
| T1036.002 우측-좌측 오버라이드 | 파일명에 특수 문자를 삽입해서 확장자 표시를 조작하는 기법으로, 시각적 위장 효과를 높임 | 상세 분석 보기 |
| T1036.005 일치하는 정당한 이름 | 시스템 파일과 동일한 이름을 사용하되 다른 위치에 배치하는 기법으로, 파일 타입 위장과 결합하면 더욱 효과적 | 상세 분석 보기 |
참고 자료
- [MITRE ATT&CK - T1036.008](https://attack.mitre.org/techniques/T1036/008/)
관련 글 더 보기
- 파일명 공백 위장: 확장자를 숨겨 탐지를 우회하는 원리 | T1036.006
- rundll32 위장 공격: 정상 도구 이름으로 EDR을 우회하는 방법 | T1036.003
- 유니코드 RLO 공격: 파일 이름이 거꾸로 보이는 원리 | T1036.002
- 이중 확장자 공격: report.pdf.exe가 문서로 보이는 이유 | T1036.007
- 정상 프로세스 위장: svchost.exe 이름을 도용하는 공격 원리 | T1036.005
- 가짜 작업·서비스: 공격자가 윈도우 시스템에 숨는 방법 | T1036.004
- 공급망 침해 공격: 왜 가장 효과적인 침투 방법인가 (3가지 기법) | T1195
- NPM 패키지 위조 공격: 개발 도구가 백도어가 되는 원리 | T1195.001
- 소프트웨어 공급망 침해: 한 번 감염으로 수백만 피해자를 만드는 원리 | T1195.002
- 프로세스 트리 조작: 공격자가 부모 프로세스 추적을 차단하는 원리 | T1036.009
안내 및 법적 고지
AI 활용 안내 이 글은 AI(Claude)의 도움을 받아 작성되었으며, MITRE ATT&CK(최신 버전)을 기준으로 합니다.
면책 조항 본 글은 보안 인식 제고를 위한 교육 목적으로 작성되었습니다. 언급된 공격 기법을 실제로 시도하는 행위는 「정보통신망법」, 「형법」 등에 따라 처벌받을 수 있으며, 본 블로그는 이에 대한 법적 책임을 지지 않습니다.
COMMENTS (0)
댓글은 익명으로 작성되며, 삭제 비밀번호를 설정하면 본인만 삭제할 수 있습니다. 비밀번호를 설정하지 않은 댓글은 누구나 삭제할 수 있습니다.