보안 연구자들은 악의적인 행위자들이 여러 ZIP 파일을 연결하여 안티멀웨어 소프트웨어의 탐지를 피하는 새로운 기술을 사용하고 있음을 확인했습니다. 이 방법은 악성코드가 내부 아카이브 중 하나에 저장되어 있어 보안 조치에 덜 노출되기 때문에 악성코드 식별을 복잡하게 만듭니다.
연구에 따르면, 가장 인기 있는 세 가지 파일 압축 프로그램인 7zip, WinRAR, 그리고 Windows 파일 탐색기가 이러한 연결된 아카이브를 다루는 방식이 다르며, 이는 탐지율에 영향을 미칩니다. 일반적으로 ZIP 파일은 파일을 찾기 위해 압축 소프트웨어에 안내하는 단일 중앙 디렉토리를 포함하고 있습니다. 그러나 연결된 아카이브는 여러 개의 중앙 디렉토리를 가지고 있어 사용자가 이를 간과할 수 있습니다.
예를 들어, 7zip은 첫 번째 중앙 디렉토리만 표시하는 반면, WinRAR은 두 번째 디렉토리를 표시할 수 있습니다. Windows 파일 탐색기는 연결된 ZIP 파일을 열지 않지만, 파일 이름을 .RAR 형식으로 변경하면 두 번째 디렉토리에 접근할 수 있습니다. 이는 악성코드가 두 번째 디렉토리에 저장되어 있을 경우, 7zip을 사용하는 사용자는 위협을 인지하지 못할 수 있음을 의미합니다. 이들은 단지 무해한 첫 번째 디렉토리만 보게 됩니다.
추출 과정에서 페이로드 외에 추가 데이터가 있다는 경고가 표시될 수 있지만, 이는 쉽게 간과될 수 있습니다. 반대로, WinRAR 또는 Windows 파일 탐색기로 아카이브를 여는 사용자는 악성코드를 성공적으로 압축 해제할 수 있어, 기술에 익숙하지 않은 개인들이 이러한 공격의 주요 표적이 될 수 있습니다.
이 사건은 고립된 것이 아니며, 'Zip Bomb' 공격과 같은 압축 소프트웨어의 특성을 악용한 이전 공격에 이어 발생한 것입니다. 이는 사이버 보안에서 사용자 인식의 중요성을 강조하며, 의심스러운 파일을 인지하는 것이 악성코드에 대한 중요한 방어선임을 보여줍니다.
* 이 글은
tomshardware.com의 기사를 요약한 것입니다. 전체 기사의 내용은
이곳에서 확인하실 수 있습니다.