'흔적도 없다' 파일리스 악성코드 '빨간불'

[아이뉴스24 김국배기자] 보안 솔루션 우회를 목적으로 하는 이른바 '파일리스(Fileless)' 악성코드 위협이 커지고 있다.

특히 최근에는 한 단계 더 나아가 랜섬웨어와 결합하는 양상까지 나타나고 있어 주의를 요한다.

파일리스 악성코드는 말그대로 파일이 존재하지 않는 악성코드다. 사용자가 발견하기 어렵고, 보안 솔루션을 우회할 가능성이 높다. 디스크에 흔적을 남기지 않기 위해 취약점을 이용한다.

11일 사이버 보안 업계에 따르면 이 같은 파일리스 악성코드 공격이 늘고 있는 것으로 나타났다. 사이버 범죄자들이 흔적을 남기기 않는 공격에 집중하기 시작한 셈이다.

실제로 트렌드마이크로는 2분기 파일리스 코드주입식 랜섬웨어인 '소어브렉트(SOREBRECT)'를 처음 발견했다. 이 랜섬웨어는 중동 지역 기업들의 시스템과 네트워크를 감염시켰다.

초기에는 쿠웨이트, 레바논 등 중동 국가에서만 한정적으로 관찰됐지만 5월초부터는 캐나다, 중국, 크로아티아, 이탈리아, 일본, 멕시코, 러시아, 대만, 미국에서까지 탐지됐다. 감염 대상에는 제조업체, 이동통신사 등이 포함됐다.

트렌드마이크로는 "랜섬웨어의 잠재적 영향력과 수익성을 고려할 때 다른 국가에서도 활동할 가능성이 높다"며 "사이버 범죄 지하조직을 통해 하나의 서비스로 전파될 가능성 또한 배제할 수 없다"고 분석했다.

또 트렌드마이크로는 최근 자동시작 (autostart) 레지스트리를 통해 들어오는 새로운 파일리스 악성코드인 'JS_POWMET'를 발견하기도 했다.

앞서 카스퍼스키랩 역시 최근 40개국 140여 곳의 은행과 정부기관, 이동통신사를 대상으로 한 공격에 파일리스 악성코드 공격이 사용됐다고 밝혔다.

다만 완전한 파일리스 악성코드 공격은 드물게 나타나는 것으로 평가된다.

메모리에만 존재하는 것이 아니라 디스크에 흔적을 남기는 형태가 오히려 더 많다는 게 업계의 전언이다. 파일리스 악성코드는 일반 악성코드보다 제작이 어려워 종류와 수가 적다.

이 때문에 파일리스 악성코드의 기준을 둘러싼 논란도 제기되고 있다. 어디까지를 파일리스 악성코드로 봐야할 지 불분명하다는 것.

보안업계 관계자는 "현재 파일리스로 알려진 악성코드는 감염 후 파일을 삭제해 결과적으로 악성코드가 메모리에만 존재하는 것처럼 보이는 사례가 대부분"이라며 "파일리스 악성코드에 대한 기준이 필요하다"고 말했다.