시큐리티팩트
평범한 PDF에 숨은 해커.. 당신의 문서를 노린다
송장·계약서·보고서 등으로 위장.. 클릭하면 숨겨진 스크립트 실행
댓글 0
기사입력
: 2025.09.04 09:53
[시큐리티팩트=최석윤 기자] 피싱 공격이 진화하고 있다. 이제 악성 링크를 넘어, 가장 안전하다고 믿었던 파일에 해커들이 숨어들고 있다. 바로 PDF다. 업무에 필수적인 송장, 계약서, 보고서 등으로 위장한 악성 PDF 파일이 기업과 개인을 위협하고 있다.
일단 PDF를 열면, 숨겨진 스크립트가 실행된다. 가짜 로그인 페이지로 연결되거나, 사용자 모르게 정보를 빼간다. 바이러스 백신 프로그램조차 속이기 쉽다. 너무 늦기 전에 알아채기 힘들다.
왜 PDF가 해커의 '최애' 무기인가?
해커 입장에서 PDF는 매력적인 무기다. 신뢰와 기능의 독특한 조합을 제공하기 때문이다. PDF는 업무에서 널리 사용된다. 거의 모든 운영 체제에서 지원한다. 멀웨어와 피싱 공격을 전달하기에 이상적이다.
PDF의 위험성은 여러 기술적 요인에서 비롯된다.
우선, 보안 필터가 PDF를 위험이 낮은 파일로 인식한다. 실행 파일에 비해 덜 경계한다. 또한, PDF는 자바스크립트, 양식, 링크 같은 기능을 포함할 수 있다. 악성 코드의 다양한 침투 경로를 제공한다. 어도비 리더 같은 뷰어 프로그램의 취약점을 악용하기도 쉽다. 윈도우, macOS, 리눅스 등 모든 플랫폼에서 작동한다. PDF는 결코 '단순한 문서'가 아니다. 악성 행위가 실행될 때까지 숨어 있을 수 있다.
악성 PDF, 어떻게 조기 발견하나?
정적 분석만으로는 한계가 있다. 파일이 실행될 때 어떤 일이 벌어지는지 알 수 없다. 그래서 필요한 것이 대화형 샌드박스다. 가상 환경에서 PDF를 실행해 모든 악성 행위를 실시간으로 관찰하는 방식이다.
대화형 샌드박스는 보안 전문가가 의심스러운 파일을 실제 실행해 그 동작을 실시간으로 분석할 수 있는 가상의 안전한 공간이다.
샌드박스(Sandbox)는 원래 '모래 상자'라는 뜻으로, 아이들이 안전하게 놀 수 있는 공간을 의미한다. 컴퓨터 보안에서는 외부 환경으로부터 분리된 격리된 공간을 말한다. 이 공간에서 의심스러운 프로그램이나 파일이 시스템에 어떤 영향을 미치는지 테스트할 수 있습니다. 파일이 악성 행위를 하더라도 실제 컴퓨터 시스템에는 피해를 주지 않는다.
대화형 샌드박스 사용, 피해 확산 전에 차단
대화형 샌드박스를 사용하면 몇 가지 이점이 있다.
먼저, 탐지 시간이 빠르다. 악성 행위가 60초 안에 감지된다. 또한, 파일이 왜 악성인지 작동 방식을 명확히 보여준다. 난독화된 스크립트나 로그를 일일이 분석할 필요가 없다. 공격의 모든 단계를 추적할 수 있어 조사에 대한 확신이 생긴다. 도메인, IP 주소 같은 침해 지표(IOC)는 자동으로 추출되어 다른 보안 시스템과 연동할 수 있다.
예를 들어, 'Rauscher-Fahrzeugeinrichtungen(라우셔 차량 설비).pdf'라는 의심스러운 파일이 ANY.RUN이라는 사이버 보안 회사의 샌드박스에서 분석된 사례가 있다. 60초 만에 악성 행위가 확인됐다. 전체 공격 경로는 프로세스 트리 형태로 나타났다. 자격 증명 탈취를 위해 사용된 가짜 마이크로소프트 로그인 페이지까지 그대로 보여줬다. 분석가는 코드를 파헤칠 필요 없이 위협의 본질을 즉시 파악할 수 있다.
악성 PDF는 해커들이 조직에 침입하는 가장 쉬운 방법 중 하나다. 동시에, 올바른 도구를 사용하면 가장 빠르게 위협을 노출할 수 있는 방법이기도 하다.
대화형 샌드박스를 활용하면 피해가 발생하기 전에 피싱 시도를 막을 수 있다. 몇 초 만에 위협을 탐지하고, 조사 시간을 단축하며, 조직의 보안을 강화할 수 있다.
