컴퓨터에 실수로 악성코드를 설치하는 것이 안 좋다고 생각했다면, 저장 장치에 흔적을 남기지 않고 은밀하게 침투하는 파일리스 악성코드를 접하면 생각이 달라질 것입니다.
기존 악성코드는 바이러스 백신이 탐지하고 제거할 수 있도록 저장 장치에 파일 형태로 존재하기 때문에, 일단 발견되면 제거가 비교적 쉽습니다. 하지만 파일리스 악성코드는 컴퓨터 메모리(RAM)에서만 작동하므로 탐지하기가 훨씬 어렵습니다.
이번 글에서는 파일리스 악성코드에 대해 알아야 할 모든 것과 이러한 위협으로부터 컴퓨터를 보호하는 방법에 대해 알아보겠습니다.
파일리스 악성코드란 무엇일까요?
파일리스 악성코드는 시스템 메모리에서 직접 실행되는 악성 코드 조각입니다. 주로 정상적인 프로그램의 취약점을 찾아 이를 악용하여 스스로 실행됩니다. 드물게 자체 악성 프로세스를 만들어 기능을 수행하기도 합니다.
바이러스 백신은 일반적으로 다운로드되거나 설치된 파일 및 프로그램을 검사하지만, 파일리스 악성코드는 파일 형태로 존재하지 않으므로 탐지가 매우 어렵습니다. 파일리스 악성코드가 수행할 수 있는 악성 기능은 대부분 다른 악성코드와 유사하지만, 컴퓨터에 존재하는 방식에서 큰 차이를 보입니다.
파일리스 악성코드는 어떻게 장치를 감염시킬까요?
대부분의 악성코드와 마찬가지로 파일리스 악성코드도 이메일 스팸, 악성 웹사이트, 소셜 엔지니어링 공격을 통해 확산됩니다. 하지만 컴퓨터에 있는 프로그램이나 운영체제 자체의 취약점을 이용하기 때문에 실행 방식이 다릅니다.
취약점을 악용하는 일반적인 프로그램에는 Powershell, WMI(Windows Management Instrumentation), 브라우저, 그리고 설치된 모든 취약한 플러그인이 포함됩니다. 이러한 취약점을 이용하여 합법적인 프로그램에 악성코드를 삽입하고, 악성코드의 목적에 따라 작업을 수행합니다.
예를 들어, 감염된 Powershell은 관리자 권한 명령을 실행하여 데이터를 훔치거나 중요한 데이터를 암호화할 수 있습니다.
이미지 출처: 트렌드마이크로
또한, “프로세스 비우기” 기법을 사용하여 정상적인 프로세스의 내용을 비운 후 악성 코드로 채워 해당 프로그램 이름으로 작동할 수도 있습니다.
파워고스트는 WMI와 Powershell을 사용하여 회사 컴퓨터를 암호화폐 채굴에 악용한 대표적인 파일리스 악성코드 공격 사례입니다.
파일리스 악성코드는 어떤 위협을 가할까요?
앞서 언급했듯이, 파일리스 악성코드는 컴퓨터 저장 장치에 존재하는 악성코드와 유사한 대부분의 작업을 수행할 수 있습니다. 이는 파일리스 악성코드의 목적과 악용되는 취약점에 따라 달라집니다.
일반적으로 수행되는 악성 기능에는 데이터 절도, 자격 증명 도용, 데이터 암호화, 활동 감시, 키로깅, 암호화폐 채굴, DDoS 공격, 추가 공격을 위한 보안 설정 변경 등이 있습니다.
더 나은 이해를 위해 과거에 발생했던 주요 파일리스 악성코드 공격 사례를 아래에 정리했습니다.
파워웨어: Powershell을 사용하여 은밀하게 명령을 실행하여 중요한 파일을 잠그고, 암호화된 것처럼 위장하는 랜섬웨어입니다. 이후 암호화폐 결제를 요구합니다.
파워스니프: 마이크로소프트 워드의 보안 설정을 악용하여 문서 내의 매크로를 실행하여 확산되었습니다. 매크로는 컴퓨터를 검색하고 자격 증명을 훔쳤습니다.
트릭봇: 완전한 파일리스 악성코드는 아니지만, 고급 버전에서는 모듈을 메모리에 로드했습니다. 악성코드의 주요 목적은 금융 자격 증명을 훔치는 것이었습니다.
넷워커 랜섬웨어: 파일리스 전술을 사용하는 또 다른 랜섬웨어로, 실제 암호화를 수행합니다. 정상적인 Microsoft 프로세스를 악성코드로 대체하여 자신을 숨기고 명령을 실행했습니다.
파일리스 악성코드는 어떻게 탐지할 수 있나요?
파일리스 악성코드는 매우 교활하기 때문에 탐지하기가 어렵습니다. 악성 링크를 클릭하여 컴퓨터가 감염되었다고 의심된다면, 보호 조치를 취하기 위해 몇 가지 확인해야 할 사항들이 있습니다.
다음은 찾아야 할 몇 가지 일반적인 단서입니다.
비정상적인 시스템 동작: 파일리스 악성코드는 특정 앱의 실행 및 종료, 컴퓨터 멈춤, 충돌 또는 재시작과 같은 비정상적인 동작을 유발할 수 있습니다.
성능 저하: 전체 시스템 성능이 갑자기 저하될 수 있으며, 멈춤 현상으로 이어질 수도 있습니다.
비정상적인 네트워크 활동: 네트워크 성능 저하와 함께 접근하지 않은 도메인에 대한 비정상적인 트래픽이 발생할 수 있습니다. 네트워크 분석을 위해 GlassWire를 사용하는 것을 추천합니다.
프로세스의 높은 CPU 사용량: 작업 관리자를 열어 비정상적인 프로세스가 CPU 리소스를 과도하게 사용하는지 확인하십시오. 손상된 프로세스는 일반적으로 활성화되지 않은 상태에서도 높은 CPU 성능을 사용합니다.
바이러스 백신 앱 변경 사항: 파일리스 악성코드는 바이러스 백신 소프트웨어를 비활성화하여 컴퓨터를 더 많은 악성코드 공격에 취약하게 만들려고 할 수 있습니다.
이 외에도 동작 감지 기능을 내장한 바이러스 백신을 사용하여 파일리스 악성코드를 탐지해야 합니다. 이러한 바이러스 백신 앱은 앱과 프로세스의 비정상적인 동작을 감지하여 감염 여부를 파악할 수 있습니다.
Kaspersky Antivirus는 파일리스 악성코드 보호 기능을 제공하여 비정상적인 동작을 감지할 뿐만 아니라 WMI 또는 Windows 레지스트리와 같은 중요한 Windows 기능을 검사하여 악성코드를 탐지합니다. Kaspersky는 과거에도 여러 파일리스 악성코드 공격을 발견한 경험이 있습니다.
장치가 감염되었다면 어떻게 해야 할까요?
컴퓨터가 감염되었다고 의심된다면 이미 너무 늦었을 가능성이 높습니다. 악성코드가 무언가를 훔치려는 의도를 가지고 있었다면 이미 그렇게 했을 것입니다.
하지만 가장 먼저 해야 할 일은 컴퓨터를 완전히 껐다가 다시 시작하는 것입니다. RAM은 휘발성 메모리이므로 컴퓨터가 종료되면 완전히 지워집니다. 이렇게 하면 파일리스 악성코드가 더 큰 피해를 입히기 전에 자동으로 제거됩니다.
불행하게도 대부분의 파일리스 악성코드에는 레지스트리에 코드를 로드하는 등 재부팅 후에도 살아남을 수 있는 방법이 내장되어 있습니다. 가능하다면 안전 모드로 컴퓨터를 시작한 후 아래 방법을 따르십시오.
#1. 바이러스 백신으로 검사
다시 한번 강조하지만, 파일리스 악성코드를 차단할 수 있는 도구가 있는 바이러스 백신 앱이 필요합니다. Kaspersky는 파일리스 악성코드로 인한 변경 사항을 찾는 데 여전히 권장되는 제품입니다. 파일리스 악성코드에 대한 AI 기반 동작 감지 기능을 갖춘 Malwarebytes도 고려해 볼 수 있습니다.
#2. 시스템 복원 사용
시스템 복원은 컴퓨터를 특정 시점의 이전 상태로 되돌리고 모든 변경 사항을 원래대로 되돌릴 수 있습니다. 모든 Windows 컴퓨터에서 기본적으로 활성화되어 있으므로 직접 비활성화하지 않은 한 컴퓨터에서도 활성화되어 있어야 합니다.
Windows 검색에 “복원”을 입력하면 시스템 복원 창이 열립니다. 여기에서 복원하기 위해 현재 저장된 모든 복원 지점을 볼 수 있습니다. 모든 변경 사항을 수정하려면 악성코드 감염 이전의 항목을 선택하세요.
#3. 컴퓨터 초기화
복원 지점이 없는 경우, 컴퓨터를 초기화하면 로컬 데이터를 유지하면서 모든 손상을 해결할 수도 있습니다. 하지만 초기화하면 컴퓨터에 설치된 모든 프로그램이 삭제되므로 중요한 저장 데이터가 없는지 확인해야 합니다.
Windows 설정에서 “시스템 > 복구”로 이동한 다음 “PC 초기화”를 클릭합니다. 팝업 창에서 “내 파일 유지”를 클릭하고 지침에 따라 초기화를 진행하십시오.
파일리스 악성코드를 어떻게 예방할 수 있을까요?
일반적인 악성코드로부터 보호하는 대부분의 조치는 파일리스 악성코드로부터도 보호할 수 있습니다. 동작 감지 기능이 있는 바이러스 백신을 설치하고, 의심스러운 콘텐츠를 다운로드하거나 클릭하지 않아야 합니다.
하지만 파일리스 악성코드를 예방하는 데 더욱 중요한 몇 가지 보호 조치가 있습니다. 아래에 해당 조치를 정리했습니다.
운영체제와 앱을 최신 상태로 유지하세요
파일리스 악성코드는 앱과 운영체제의 보안 취약점을 크게 이용합니다. 운영체제에 최신 보안 업데이트가 설치되어 있고, 모든 앱이 최신 상태인지 확인해야 합니다. 이러한 업데이트에는 파일리스 악성코드가 악용할 수 있는 취약점에 대한 수정 사항이 포함되어 있습니다.
브라우저 확장에 주의하세요
파일리스 악성코드는 브라우저 플러그인을 취약점으로 감염시킬 수도 있습니다. 신뢰할 수 있고 평판이 좋은 브라우저 확장 프로그램만 다운로드하고 최신 상태로 유지하세요. 감염된 경우, 확장 프로그램이 범인이 아닌지 확인하기 위해 확장 프로그램을 다시 설치하는 것을 권장합니다.
네트워크 모니터링
거의 모든 파일리스 악성코드는 작업을 수행하기 위해 자체 서버와 네트워크 연결을 생성합니다. GlassWire와 같은 도구는 의심스러운 연결을 식별하는 데 도움이 될 뿐만 아니라 내장된 방화벽 덕분에 자동으로 차단할 수도 있습니다. 의심스러운 연결이 감지되면 항상 알림을 받을 수 있도록 알림을 설정하는 것이 좋습니다.
UAC(사용자 계정 컨트롤) 보안 강화
사용자나 앱에 의해 시스템이 변경되면 항상 알림을 받도록 Windows UAC를 설정할 수 있습니다. 각 변경 사항에 대한 알림으로 다소 불편할 수 있지만, 파일리스 악성코드와 같은 숨겨진 악성코드로부터 컴퓨터의 보안을 크게 강화할 수 있습니다.
Windows 검색에서 “UAC”를 검색하고 “사용자 계정 컨트롤 설정 변경”을 클릭합니다. 여기서 보안 슬라이더를 맨 위로 설정하십시오.
엔드포인트 보안 솔루션 적용
기업의 경우, 엔드포인트 보안 솔루션은 보안을 중앙 집중화하여 네트워크의 모든 컴퓨터를 보호할 수 있습니다. 장치가 감염되더라도 네트워크의 다른 장치는 안전하게 유지되며, 보안 솔루션은 감염된 장치를 복구하는 데 도움을 줄 수 있습니다. 업데이트도 실시간으로 이루어지므로 취약점이 수정되면 즉시 패치됩니다.
크라우드스트라이크는 사이버 공격에 대한 AI 기반 보호를 제공하는 솔루션입니다. 또한 전용 메모리 스캐너 기능을 통해 파일리스 악성코드로부터 보호합니다.
마지막 생각 🖥️🦠
파일리스 악성코드는 가장 지능적인 악성코드 공격 중 하나입니다. 해커는 종종 대규모 공격의 일부로 이러한 악성코드를 사용하여 초기 접근 권한을 얻거나 시스템을 약화시킵니다. 하지만 의심스러운 부분을 클릭하지 않고 주의를 기울인다면 이러한 공격을 대부분 쉽게 피할 수 있습니다.
다음으로 Android 및 iOS 휴대폰에서 악성코드를 검사하고 제거하는 방법에 대해 알아보십시오.