Mark of the Web : Windows의 PC 보호

 

인터넷에서 다운로드한 파일을 실행할 때, "이 파일은 인터넷에서 온 것입니다. 실행하시겠습니까?"라는 메시지를 본 적이 있을 것입니다. 이는 Windows 운영체제의 보안 기능 중 하나인 "Mark of the Web(MoTW)" 덕분입니다. MoTW는 인터넷에서 내려받은 파일에 경고를 표시하여 사용자가 실행을 신중하게 결정하도록 돕습니다.

---

MoTW(Mark of the Web)란 무엇인가요?

MoTW는 사용자가 인터넷에서 파일을 다운로드하면 자동으로 부여되는 보안 속성입니다. Windows는 이 정보를 이용해 파일이 신뢰할 수 있는 출처에서 왔는지 판단하고, 필요할 경우 추가적인 보안 검사를 수행합니다. 예를 들어, Windows에 포함되어 있는 Defender SmartScreen은 MoTW 태그가 붙은 파일을 스캔하여 악성 여부를 판단합니다. MoTW 덕분에 사용자는 악성코드가 실행될 위험을 줄일 수 있습니다.

 

하지만 MoTW는 만능이 아닙니다. MoTW는 흔히 하드 디스크 포맷 과정에서 볼 수 있는 파일 시스템 중 NTFS에 제공되는 기능을 이용하여 파일에 메타데이터를 추가하는 방식으로 작동합니다. 그렇기 때문에 일부 파일 시스템(FAT32 등)에서는 이 정보를 저장할 수 없으며, 특정 압축 파일 형식에서는 MoTW가 유지되지 않는 경우가 있습니다. 즉, 악성 파일이 특정한 방식으로 전달되면 MoTW의 보호 기능이 무력화될 가능성이 있습니다.

---

MoTW를 우회하는 7-Zip 취약점 발견

2024년 9월, 보안 연구팀이 7-Zip 파일 압축 프로그램의 취약점을 발견했습니다. 이 취약점을 악용하면 공격자는 이중 압축 기법을 사용하여 MoTW의 보호를 우회할 수 있습니다. 즉, 악성 파일을 두 번 압축하여 배포하면 Windows가 MoTW 태그를 인식하지 못하고, 추가적인 보안 검사가 생략됩니다.

 

이 방법을 활용한 공격이 실제로 발생했습니다. 러시아 해커 그룹은 이 취약점을 이용하여 우크라이나 정부 기관을 대상으로 스피어 피싱 공격을 감행했습니다. 사용자가 이메일 첨부 파일을 다운로드하여 실행하면 MoTW 보호 없이 악성코드가 작동하는 구조였습니다. 이는 보안 경고를 우회할 수 있는 매우 효과적인 공격 방식이며, 앞으로도 유사한 위협이 증가할 가능성이 큽니다.

---

MoTW 우회 공격이 위험한 이유

MoTW가 정상적으로 작동하지 않으면 사용자는 악성 파일을 의심 없이 실행할 가능성이 높아집니다. 예를 들어, 일반적인 상황에서는 인터넷에서 받은 실행 파일(.exe, .msi 등)을 실행하면 보안 경고가 표시되지만, MoTW가 적용되지 않으면 이러한 경고가 나타나지 않습니다. 이는 사용자가 악성 파일을 아무런 의심 없이 실행하도록 유도할 수 있는 심각한 보안 취약점입니다.

 

이러한 허점을 악용하는 공격자는 단순한 이메일 피싱뿐만 아니라, 악성 광고, 소프트웨어 업데이트로 위장한 공격 등 다양한 방식으로 사용자를 속일 수 있습니다. 따라서 MoTW 우회 기법을 이해하고 이에 대한 대응책을 마련하는 것이 중요합니다.

 

---

MoTW 우회 공격을 막으려면?

이러한 보안 위협으로부터 보호받기 위해 몇 가지 조치를 취할 수 있습니다.

 

• 7-Zip 최신 버전 사용: 7-Zip에서 발생한 취약점은 24.09 버전에서 패치되었습니다. 따라서 7-Zip을 최신 버전으로 업데이트해야 합니다.
• 알 수 없는 출처의 파일 주의: 이메일이나 인터넷에서 다운로드한 압축 파일을 실행하기 전에 반드시 신뢰할 수 있는 출처인지 확인해야 합니다.
• MoTW가 적용되지 않은 파일 확인: 파일 속성에서 "이 파일은 인터넷에서 다운로드되었습니다."라는 경고가 없을 경우, MoTW가 정상적으로 적용되지 않았을 가능성이 있습니다.

---

블랙쏘세지와 함께 링크를 안전하게 보세요.

블랙쏘세지는 사용자가 클릭한 모든 링크를 원격 서버에서 실행해, 안전하지 않은 웹사이트로부터 사용자를 보호합니다.

 

블랙 쏘세지 - 해킹 방지, 피싱, 스미싱, 스팸 차단