최근 사이버 공격자들이 윈도우 시스템을 대상으로 한 새로운 침투 기법, ‘ZIP 파일 병합’을 활용해 보안 시스템을 우회하고 악성 파일을 전송하는 사례가 발견됐다. 이 기법은 ZIP 파일을 여러 개 결합하여 파일 구조에 변화를 줌으로써 다양한 압축 관리 프로그램이 이 파일을 처리할 때 서로 다른 방식으로 해석하게 만드는 특징을 이용한 것이다.

‘ZIP 파일 병합’은 두 개 이상의 ZIP 파일을 순차적으로 결합해 하나의 파일로 만드는 작업을 뜻한다. 이렇게 만들어진 파일은 각각의 ZIP 구조가 따로 존재하고, 각 구조에 독립적인 중앙 디렉터리와 종료 마커를 포함한다. 이러한 구성은 압축 관리 프로그램마다 다른 처리 방식을 유도한다. 예를 들어, 7-Zip은 첫 번째 ZIP 파일만 읽어들이고 추가 데이터에 대한 경고를 띄울 수 있지만, 사용자가 이를 놓칠 가능성이 크다.

또 WinRAR(윈라르)는 두 개의 ZIP 구조를 모두 읽어 들여 모든 파일을 보여주며, 악성 파일이 숨겨져 있더라도 표시한다.

윈도우 파일 탐색기는 병합된 파일을 열지 못하거나, 파일이 .RAR로 변경된 경우 두 번째 ZIP 파일만 보여줄 수 있다.

이러한 차이를 악용해 공격자들은 악성 파일을 첫 번째 또는 두 번째 ZIP 파일 중 하나에 숨겨두며, 사용하는 압축 프로그램에 따라 악성 파일을 감추는 데 성공할 수 있다.

■ 실제 공격 사례 발견돼

퍼셉션 포인트 연구원들은 최근 ZIP 파일 병합 기법을 사용한 피싱 공격을 확인했다. 해당 공격은 RAR 형식으로 위장된 첨부 파일을 이메일로 발송해 사용자에게 유인하는 형태를 취했다. 첫 번째 ZIP 파일에는 무해한 PDF가 담겨 있었으나, 두 번째 파일에는 악성 실행 파일이 포함되어 있었다. 사용자가 사용하는 압축 프로그램에 따라 이 악성 파일은 사용자에게 보이지 않을 수 있었다.

파일 압축을 악용하는 이러한 공격 방식은 새로운 것은 아니다. 2020년에는 보안 전문가 디디에르 스티븐스가 ZIP 파일을 다중 결합하여 압축 프로그램마다 다르게 동작하도록 한 사례를 분석했다. 그의 연구는 이러한 방식이 보안 시스템을 우회할 수 있는 잠재력을 지닌다는 사실을 확인시켜주었다. 이외에도 ZIP 폭탄이라 불리는 특정한 악성 파일이 존재하는데, 이는 압축 해제 시 엄청난 크기의 데이터를 생성하여 대상 시스템을 다운시키는 방식으로 사용된다.

보안전문가들은 ZIP 파일 병합을 통한 악성 공격을 방어하기 위해서는 다음과 같은 방안을 고려해야 한다고 강조한다. 

1. 최신 보안 솔루션 사용: 중첩된 압축 파일 및 병합된 파일을 철저히 분석할 수 있는 보안 도구를 사용해야 한다.

2. 이메일 첨부 파일 주의: ZIP 또는 기타 압축 파일이 첨부된 이메일을 주의 깊게 확인하고, 출처가 불분명한 이메일의 경우 더욱 경계해야 한다.

3. 파일 확장자 필터링: 중요 환경에서는 특정 파일 확장자에 대한 필터링을 설정하여 이러한 파일을 차단하거나 신중하게 검사해야 한다.

4. 사용자 교육: 예상치 못한 첨부 파일을 열 때 발생할 수 있는 위험에 대해 사용자의 인식을 제고하고, 발신자의 신뢰성을 반드시 확인하도록 강조해야 한다.