소리 없이 다가오는 그림자, 파일리스 공격
컴퓨터에 악성 코드를 심는 해킹은 이제 옛말이 되어가고 있다. 만약 해커가 어떠한 파일도 남기지 않고 당신의 PC를 장악할 수 있다면 어떨까? 마치 유령처럼 시스템에 침투하여 흔적 없이 활동하는 공격, 이것이 바로 현대 사이버 보안의 가장 큰 골칫거리 중 하나인 '파일리스(Fileless) 공격'의 현실이다. 기존의 백신 프로그램이 탐지하기 어려운 이 교묘한 공격은 어떻게 이루어지며, 우리는 어떻게 소중한 엔드포인트를 지킬 수 있을까?
파일리스 공격, 즉 '비파일 기반 공격'은 말 그대로 하드디스크에 실행 파일(EXE, DLL 등)과 같은 악성 파일을 직접 생성하지 않고 공격을 수행하는 기법이다. 전통적인 악성코드는 특정 파일을 시스템에 설치하고 실행하는 방식이었기 때문에, 백신 프로그램은 이러한 파일의 시그니처(고유한 특징)를 탐지하여 차단할 수 있었다. 하지만 파일리스 공격은 운영체제(OS)에 기본적으로 내장된 정상적인 도구나 프로세스를 악용하기 때문에 전통적인 보안 솔루션의 감시망을 쉽게 우회한다.
여기서 말하는 엔드포인트(Endpoint)란 네트워크에 연결된 모든 최종 기기를 의미한다. 우리가 일상적으로 사용하는 개인용 컴퓨터(PC), 노트북, 스마트폰뿐만 아니라 기업의 서버, POS 기기 등 데이터가 저장되고 처리되는 모든 단말기가 여기에 해당한다. 해커에게 엔드포인트는 조직의 핵심 정보에 접근하기 위한 최종 관문이자 가장 취약한 고리이기 때문에 주요 공격 목표가 된다.
파일리스 공격의 작동 방식을 이해하면 그 위험성을 더욱 명확히 알 수 있다. 공격의 단계별 과정을 살펴보자.
- 초기 침투 (Initial Access) : 공격의 시작은 대부분 사용자의 부주의를 틈타 이루어진다. 악성 스크립트가 숨겨진 이메일 첨부파일을 열거나, 피싱 사이트의 링크를 클릭하는 순간 공격은 시작된다. 또한, 보안 패치가 적용되지 않은 소프트웨어의 취약점을 파고들어 시스템에 첫발을 내딛기도 한다.
- 명령 실행 (Execution) : 일단 시스템에 접근한 공격자는 새로운 파일을 만드는 대신, 시스템에 이미 존재하는 신뢰할 수 있는 도구를 호출한다. 대표적으로 악용되는 도구는 다음과 같다.
- 파워셸 (PowerShell): 윈도우의 강력한 관리 자동화 도구인 파워셸은 파일 생성 없이 메모리상에서 직접 명령을 실행할 수 있어 파일리스 공격의 단골손님이다.
- WMI (Windows Management Instrumentation): 시스템 관리 및 모니터링을 위한 윈도우의 기본 기능으로, 공격자는 이를 통해 시스템 정보를 수집하거나 다른 프로세스를 실행하는 등 원격으로 악성 행위를 수행할 수 있다.
- 매크로 (Macros): MS 오피스 문서에 포함된 매크로 기능을 악용하여 악성 스크립트를 실행하고, 이를 통해 다른 시스템 도구를 호출하는 방식도 흔히 사용된다.
- 지속성 유지 (Persistence) 공격자는 시스템이 재부팅되더라도 공격을 지속하기 위해 흔적을 남긴다. 하지만 이 흔적은 파일이 아닌, 윈도우 레지스트리 키 값이나 예약된 작업(Scheduled Tasks) 형태로 저장된다. 시스템이 시작될 때마다 레지스트리에 저장된 스크립트가 자동으로 실행되도록 만들어 영구적인 통제권을 확보하는 것이다.
파일리스 공격이 기존의 공격보다 훨씬 더 위협적인 이유는 명확하다.
- 은밀함 (Stealth): 탐지할 악성 파일 자체가 없기 때문에 시그니처 기반의 전통적인 안티바이러스(AV) 솔루션은 사실상 무용지물이 된다.
- 신뢰성 악용 (Abuse of Trust): 파워셸이나 WMI와 같이 시스템 관리자가 사용하는 정상적인 도구를 사용하므로, 보안 시스템은 이를 악의적인 활동으로 판단하기 어렵다.
- 분석의 어려움 (Forensic Difficulty): 공격 후 시스템에 파일 흔적이 거의 남지 않아 침해사고 분석(Forensics)을 통해 공격의 경로와 피해 범위를 파악하기가 매우 까다롭다.
이처럼 교묘한 파일리스 공격을 막아내기 위해서는 기존의 방어 체계를 넘어서는 다층적인 접근이 필수적이다.
효과적인 방어 전략은 무엇일까?
- 행위 기반 탐지 솔루션 도입: 파일이 아닌 '행위'에 집중해야 한다. 엔드포인트 탐지 및 대응(EDR) 솔루션은 시스템 프로세스의 행위를 지속적으로 모니터링하여 정상적인 패턴에서 벗어나는 의심스러운 활동(Anomalies)을 탐지하고 차단한다.
- 파워셸 보안 강화: 모든 사용자가 파워셸을 사용할 필요는 없다. 불필요한 사용자의 파워셸 실행 권한을 제한하고, 스크립트 실행 로깅 기능을 활성화하여 모든 활동을 기록하고 분석해야 한다.
- 지속적인 업데이트와 패치 관리: 운영체제와 모든 소프트웨어를 항상 최신 상태로 유지하는 것은 기본 중의 기본이다. 공격의 시작점이 되는 보안 취약점을 사전에 제거하는 것이 가장 효과적인 예방책이다.
- 사용자 보안 교육: 결국 많은 공격은 사람의 실수에서 시작된다. 임직원을 대상으로 피싱 이메일 식별 방법, 의심스러운 링크 및 첨부파일 처리 요령 등 정기적인 보안 인식 교육을 실시해야 한다.
- 최소 권한 원칙 준수: 사용자와 애플리케이션에 꼭 필요한 최소한의 권한만 부여하여, 만에 하나 시스템이 침해되더라도 공격자가 더 넓은 범위로 권한을 상승시켜 피해를 확산시키는 것을 막아야 한다.
결론적으로, 파일리스 공격은 더 이상 특별한 해킹 기술이 아닌 보편적인 위협으로 자리 잡았다. 이제 우리는 파일 탐지를 넘어 시스템의 모든 '행위'를 감시하고 분석하는 새로운 보안 패러다임으로 전환해야 한다. 보이지 않는다고 해서 존재하지 않는 것이 아니다. 보이지 않는 위협에 맞서기 위한 철저한 준비와 대응 체계 구축이 그 어느 때보다 중요한 시점이다.
#파일리스공격 #엔드포인트보안 #사이버보안 #정보보안 #PowerShell공격 #EDR
'IT 정보 > 용어' 카테고리의 다른 글
| SIM이란? 핸드폰 IC카드 아니고, 보안 정보 관리(SIM) (1) | 2025.08.12 |
|---|---|
| 24시간 잠들지 않는 회사의 방패, 보안관제센터(SOC)의 모든 것 (3) | 2025.08.11 |
| 엔드포인트 이야기, 당신의 노트북은 안녕하십니까? 사이버 공격의 시작점 (3) | 2025.08.09 |
| 내부자위협 - 우리 회사의 가장 큰 적은 내부에 있다? 내부자 위협의 모든 것 (2) | 2025.08.08 |
| 디지털 포렌식이란? 사이버 범죄 수사의 핵심 기술 (1) | 2025.08.07 |
