윈도 스크립트 도구 '파워셸(Powershell)'을 동원하는 사이버위협 사례가 한국에서 급증했다는 조사 결과가 나왔다.
하우리(대표 김희천)는 지난해 한국에서 파악된 '파일리스(Fileless)' 악성코드 공격 사례가 3천782건을 기록했다고 16일 밝혔다. 이는 2015년대비 400%가량 증가한 규모로 역대 최대치라고 덧붙였다.
파일리스 악성코드는 이름처럼 파일 형태로 존재하지 않고 메모리나 레지스트리에만 존재하는 악성코드를 가리킨다. 주로 브라우저 취약점을 이용해 공격한다. 공격은 윈도에 탑재된 '파워셸'과 '윈도관리도구명령줄(WMIC)'이라는 도구를 통해 이뤄진다.
관련기사
- "연말정산 안내 위장한 랜섬웨어 국내 유포"2017.01.16
- 하우리, 경찰청 통합백신-보안패치SW 구축2017.01.16
- 윈도 '파워셸' 통한 사이버위협 커지나2017.01.16
- 30년묵은 윈도-리눅스 기술, 각자 세대교체2017.01.16
파일기반 탐지기술로는 파일리스 악성코드를 탐지하기 어렵다. 메모리 기반 악성코드 진단을 강화하거나, 파워셸처럼 취약점 활용에 동원되는 기능을 차단해 피해를 예방해야 한다. 바이로봇은 취약점 활용에 동원되는 파워셸 동작을 사전 차단하고 있다고 하우리 측은 강조했다.
하우리 최상명 CERT 실장은 "국내에서 주로 파일이 없는 악성코드 공격으로 감염되는 것은 랜섬웨어"라며 "보안 솔루션 활용시 파일이 없는 악성코드 공격에 대응이 가능한지 확인해야 한다"고 말했다.
