Zip 파일에서 멀웨어 위협을 검사하는 방법

바이러스 백신 솔루션과 사전 바이러스 백신 검사는 오랫동안 파일 내 멀웨어를 예방하는 표준적인 방법으로 자리 잡았습니다. 이러한 사실을 깨달은 해커들은 zip 파일이나 압축 파일과 같은 복잡한 복합 파일 속에 바이러스 및 기타 멀웨어를 숨기는 기술을 개발했습니다. ZIP 파일 자체는 본질적으로 위험하지 않지만, 사이버 범죄자들이 피싱 캠페인을 실행하고 랜섬웨어를 주입하며 기타 악성 행위를 통해 의심 없는 개인에게 멀웨어를 퍼뜨리는 데 가장 선호하는 형식이 되었습니다.

이 글에서는 zip 파일이 악성 코드를 숨기는 데 탁월한 벡터가 되는 이유, zip 파일에서 바이러스 및 멀웨어 위협을 검사하는 방법, 기존 탐지 기반 솔루션이 뒤처지는 이유를 살펴보고, Menlo File Security가 ZIP 파일의 우회 멀웨어를 예방하는 방법을 간략히 설명합니다.

‍

해커들이 Zip 파일을 선호하는 이유

Zip 파일은 크기를 줄이기 위해 "압축"되었습니다. 일단 .zip 파일을 생성하면 파일 내의 "압축을 해제"하거나 추출해야 파일에 액세스할 수 있습니다.

이러한 압축된 아카이브의 파일은 신뢰성 있는 위협 탐지에 어려움을 줍니다. 위협이 여러 층의 아카이브에 숨겨져 있어서, 압축 파일을 스캔해도 감염된 파일이나 의심스러운 파일이 발견되지 않을 수 있기 때문입니다. zip 파일에 숨겨진 바이러스 및 기타 멀웨어를 탐지하려면 먼저 아카이브된 파일을 압축 해제해야 합니다. 바이러스 백신 솔루션은 종종 파일을 압축 해제하지 않기 때문에 악성 zip 파일이 탐지되지 않은 채 통과됩니다.

‍

바이러스 백신 소프트웨어가 zip 파일에 효과적이지 않은 이유

바이러스 백신 소프트웨어는 알려진 멀웨어 서명 저장소를 지속적으로 확인하여 의심스럽거나 악성인 파일을 식별하고 피해를 주기 전에 격리하거나 파괴합니다. 일부 바이러스 백신 소프트웨어는 zip 파일을 검사할 수 있지만, 모든 바이러스 백신 제품이 동일한 성능을 제공하는 것은 아닙니다.

• 일부 바이러스 백신은 zip 파일을 일시적으로 압축 해제하고 내용을 검사할 수 있습니다.
• 대부분의 AV 공급업체는 파일이 완전히 추출된 후에만 파일 내용을 검사할 수 있습니다. 압축된 파일은 본질적으로 "검사할 수 없는" 상태이며 AV에 의해 보호되지 않습니다.

‍

알려진 서명에 대해서만 보호

게다가 파일 압축을 풀 수 있는 바이러스 백신조차도 알려진 위협에 대해서만 보호할 수 있습니다. 보안팀은 소프트웨어 버전을 정기적으로 업데이트해야 하며, 소프트웨어 공급업체는 최신 멀웨어 서명 라이브러리를 유지 관리해야 합니다. zip 파일을 무기화할 수 있는 알려지지 않은 위협과 제로데이 익스플로잇이 추가되면서 끊임없이 변화하는 위험 표면에 바이러스 백신 소프트웨어로 대처하는 것은 거의 불가능합니다.

‍

AI/ML = 대량의 거짓 양성 발생

마지막으로, 바이러스 백신 소프트웨어가 더욱 정교해지면서 알려지지 않은 새로운 멀웨어를 AI나 머신러닝을 사용해 식별하려는 시도를 하게 되었고, 이는 일반적으로 많은 양의 거짓 양성이 발생하여 비즈니스 생산성을 저해하고 사용자의 시간을 낭비하는 결과를 초래합니다. SOC와 보안팀이 이미 과부하 상태이고 인력이 부족한 상황에서, 업무를 더 수월하게 만들어 주어야 할 AV 도구가 오히려 노이즈를 더하는 것은 바람직하지 않습니다.

‍

비즈니스 생산성 저하

조직에서 zip 파일에 대한 차단 목록을 사용하는 경우, 예견된 파일이 자동으로 차단되어 이를 정기적으로 복구해야 한다면 IT 관리자 입장에서는 업무에 부담이 가중되는 것입니다. 게다가, 차단 목록 작성은 최종 사용자에게도 혼란을 일으킵니다. 이들은 IT 부서에서 차단을 해제할 때까지 대기하는 것이 아니라, 파트너 및 고객과 같은 제3자로부터 기다리던 파일이 신속하게 처리되기를 바랄 것입니다.

‍

현재의 Zip 파일 검사 방식

zip 파일에 숨겨진 위협을 처리하는 방법에는 두 가지가 있습니다. 한 가지 방법은 이러한 위협으로부터 엔드포인트를 보호하기 위해 수동으로 구성을 변경하는 것이고, 다른 방법은 자동화된 분석과 고급 콘텐츠 무장 해제 및 재구성(CDR)을 사용하여 위협을 제거하는 것입니다.

‍

zip 파일에서 바이러스를 검사하여 스스로 보호하기 위한 전통적인 팁

zip 파일의 숨겨진 위협을 관리하는 한 가지 방법은 각 엔드포인트를 더 안전하게 개선하고 파일과 이메일을 자동으로 검사하는 것입니다. 다음은 zip 파일에 숨어있을 수 있는 바이러스 및 멀웨어로부터 스스로 보호하기 위해 취할 수 있는 몇 가지 조치입니다.

1. WinZip 업데이트 – 중요 보안 관련 수정 및 개선 사항이 포함되어 있으므로 최신 버전의 WinZip을 실행하고 있는지 확인합니다.
2. 바이러스 백신 프로그램 업데이트 – 최신 정의를 보유하는 것은 최신 서명을 유지하는 데 매우 중요합니다. 연구자들은 매일 새로운 멀웨어를 발견하고 있으며, 최신 서명은 가장 최근의 발견 사항을 포함하지만 여전히 제로데이 위협을 놓칠 수 있습니다.
3. 바이러스 백신 구성 – 모든 파일과 이메일을 검사하고 감염이 의심되는 메시지를 격리하도록 프로그램을 조정합니다.
4. "파일 확장명 숨기기" 비활성화 – Windows에서 .EXE, .DOC, .ZIP 등의 파일 이름 확장명이나 인식하는 기타 파일 유형을 숨기지 못하도록 합니다. 예를 들어, invoice.jpg.zip이라는 악성 파일이 invoice.jpg로 표시되어 열었을 때 유해할 수 있는 zip 파일임을 숨길 수 있습니다.
5. 비밀번호 추가 – 비밀번호를 적용하여 zip 파일을 보호하면 사이버 범죄자가 파일을 변경하기가 더 어려워집니다. Windows에서 zip 파일을 마우스 오른쪽 버튼으로 클릭하고 보내기를 선택한 다음, Zip 폴더(압축됨)를 선택합니다. 안내 메시지에 따라 폴더를 저장합니다.
6. 모범 사례 실행 – 출처를 알 수 없는 이메일에 첨부된 zip 파일은 절대 열지 말고, 신뢰할 수 없는 웹사이트에서 zip 파일을 다운로드하지 않습니다. 물론, 업무 특성상 불가능할지도 모르고 작업 속도가 많이 느려질 수도 있습니다!

‍

이 과정은 바이러스로부터 스스로 보호하는 데 효과적이지만, 동시에 시간이 많이 걸리고 수작업이 필요한 방법이기도 합니다. 여러 사용자를 보호하기 위해 확장하기가 어렵습니다. 현대 조직은 여러 사용자에게 확장 가능한 빠르고 효율적인 보다 자동화된 접근 방식이 필요합니다.

‍

콘텐츠 무장 해제 및 재구성 기술로 파일 무해화

조직에서 현재 zip 파일에 숨겨진 모든 위협에 대비할 수 있는 보호 조치가 충분히 이루어지지 않고 있다고 해서, 보호되지 않는 상태를 유지할 필요는 없습니다. Menlo는 위 목록에서 번거로운 4번, "파일 확장명 숨기기" 비활성화를 해결합니다. Menlo로 파일을 무해화하는 첫 번째 단계는 파일에 TrueType을 적용하는 것입니다. 숨겨진 확장명과 의도적으로 난독화된 파일은 분석 후 실제 확장명으로 수정됩니다.

Menlo는 기존 환경과 원활하게 통합되는 API입니다. 무해화 단계에서 사용자가 수행하는 조치가 누락될 염려 없이, 파일이 조직 경계를 통과할 때 자동으로 무해화되고 멀웨어가 자동 제거되므로 콘텐츠의 사용, 공유, 편집, 다운로드 및 액세스에서 항상 안전이 보장됩니다.

‍

Menlo가 Zip 파일에 대한 위협에 대처하는 방법

무기화된 zip 파일이 네트워크에 침투하는 것을 막는 유일하고 확실한 방법은 zip 파일을 포함한 모든 파일에 대해 제로 트러스트 접근 방식을 취하는 것입니다. Menlo에서는 모든 파일 요소가 CDR이라고 하는 파일 무해화 프로세스를 거칩니다. 파일은 분해된 후 모든 악성 콘텐츠가 제거되어 안전하다고 알려진 신뢰할 수 있는 부분만으로 재구성됩니다. 새 파일은 원본의 모든 안전한 기능을 유지하면서 숨겨진 위협 없이 재구성됩니다.

Menlo의 특허받은 파일 무해화 기술을 구현하여 악성 zip 파일 및 기타 위협으로부터 네트워크를 보호하는 방법에 대해 자세히 알아보려면 지금 데모를 예약하세요.

‍