영상 픽셀 속 악성코드 숨기는 ‘픽셀코드’ 공격 주의보... 탐지 어려워 작성일 01-23 59 목록 <div id="layerTranslateNotice" style="display:none;"></div> <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> <section dmcf-sid="VQXktXhDsg"> <p contents-hash="8875ef07ba7c62eb1ea18079c5e52292e4ba21118ededcd1a9dae11d1816af92" dmcf-pid="fxZEFZlwEo" dmcf-ptype="general"><strong>악성코드 숨긴 영상 유튜브 업로드해 배포 채널로 악용<br>EDR 솔루션 통한 탐지 어려워</strong></p> <p contents-hash="14113c2ddb255c1a5653051e96b190257fa7a0f6ea52c7ab5cefac6277db5184" dmcf-pid="4M5D35SrOL" dmcf-ptype="general">[보안뉴스 김형근 기자] 악성 실행 파일을 이미지와 영상의 픽셀 데이터로 인코딩해 기존 탐지 메커니즘을 우회하는 픽셀코드(PixelCode) 기법을 보안 연구자들이 시연했다. </p> <p contents-hash="a22affde76adebb380946ece5b3f3dec7677c95a6d755058396149cc692ca342" dmcf-pid="8R1w01vmsn" dmcf-ptype="general">픽셀코드는 바이너리 데이터를 시각적 픽셀 표현으로 변환해 멀티미디어 콘텐츠에 삽입, 탐지를 회피하는 수법이다. 표준 이미지 및 영상 형식을 전달 경로로 활용한다. 유튜브 같은 신뢰받는 플랫폼이 시각적 데이터의 내부 코드까지 정밀하게 검사하진 않는다는 허점을 노린다.</p> <figure class="figure_frm origin_fig" contents-hash="dc8300503e235887731540820d9825b2fa786a57715b37ff4844b049a682b6ee" dmcf-pid="6J3su3WIwi" dmcf-ptype="figure"> <p class="link_figure"><img class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202601/23/552815-KkymUii/20260123135335430ddvz.jpg" data-org-width="1000" dmcf-mid="9sZsoJ4qEN" dmcf-mtype="image" height="auto" src="https://img1.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202601/23/552815-KkymUii/20260123135335430ddvz.jpg" width="658"></p> </figure> <div contents-hash="c72b34f5c65d988d0ca8b0a2d246a751686de17a1d98b401fa7734afe0cb0621" dmcf-pid="Pi0O70YCIJ" dmcf-ptype="general"> <div> <p>[출처: 말리셔스 픽셀코드 프로젝트]</p> </div> <br>이 기술을 시연한 ‘말리셔스 픽셀코드(Malicious PixelCode) 프로젝트’ 연구진에 따르면, 이 방식은 실행 코드를 영상 프레임의 픽셀 값에 숨겨 기존 보안 필터의 한계를 넘을 수 있다. </div> <p contents-hash="e78322d7565268e0ed91683c7621eb2e5bd2b894d37a1c598a58115a0fc55b14" dmcf-pid="QnpIzpGhEd" dmcf-ptype="general">공격 첫 단계는 C++ 기반의 리버스 쉘 페이로드 개발이다. AES-CBC 암호화를 사용해 명령 및 제어(C2) 통신을 교묘하게 숨긴다. 이후 파이썬 기반 인코더로 컴파일된 EXE 파일을 시각적 데이터로 변환한다. 이 과정을 거치면 전체 실행 파일이 하나의 MP4 영상 파일로 탈바꿈한다.</p> <p contents-hash="7848f0f979d178f276cbdc74a093fa43ed83b6eaf8307005dd21d4ed91e9286e" dmcf-pid="xLUCqUHlEe" dmcf-ptype="general">이렇게 생성된 픽셀코드 영상은 유튜브에 업로드돼 겉보기엔 아무런 문제가 없는 일반적 콘텐츠로 위장한다.</p> <p contents-hash="c121e448611bd2c3e46fb312318241ffde8285a4f00c407283648442f6d9920f" dmcf-pid="y1AfDAd8ER" dmcf-ptype="general">연구진은 특정 영상 URL이 포함된 커스텀 로더를 유포했다. 이 로더 내부엔 영상 데이터에서 악성 바이너리를 추출하기 위한 파이썬 스테이저가 완벽하게 원본 그대로 심겨 있었다. 로더가 실행되면 유튜브에서 영상을 다운로드한 뒤, 프레임별로 픽셀 데이터를 분석해 원래의 바이너리 파일을 복구하는 과정을 거친다.</p> <p contents-hash="843e462abd23442206e3f0db5625ea9f03eab68a44a0c549672482e3be71dd18" dmcf-pid="Wtc4wcJ6wM" dmcf-ptype="general">최종적으로 복원된 페이로드는 메모리에서 직접 실행돼 백엔드 서버와 암호화된 통신을 재구축한다. 이는 시스템의 직접적 통제권을 탈취하는 결과로 이어진다.</p> <figure class="figure_frm origin_fig" contents-hash="5f3e0f1a6c7fb4356c8212d392fc9e9b12775810024a7cb480540134a7515113" dmcf-pid="YFk8rkiPwx" dmcf-ptype="figure"> <p class="link_figure"><img class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202601/23/552815-KkymUii/20260123135336739exla.jpg" data-org-width="1000" dmcf-mid="21YjZYOcma" dmcf-mtype="image" height="auto" src="https://img4.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202601/23/552815-KkymUii/20260123135336739exla.jpg" width="658"></p> </figure> <div contents-hash="39021f18f8b80468114489ed114ca1a8cb7000d16afe67ca55f3227cd991fd83" dmcf-pid="G3E6mEnQIQ" dmcf-ptype="general"> <div> <p>▲픽셀코드 공격 흐름도 [출처: 말리셔스 픽셀코드 프로젝트]</p> </div> <br>기존 엔드포인트 탐지 및 대응(EDR) 솔루션은 픽셀 데이터로 위장한 바이너리 식별에 어려움을 겪는다는 점을 악용한다. 네트워크 모니터링 도구 역시 멀티미디어 스트림 내부의 비정상적 코드를 분석하기보다는 네트워크 흔적에만 집중하기 때문에 이러한 공격을 놓칠 가능성이 크다. </div> <p contents-hash="66f44c0a159407e2327b5a41345850c0ccdbb19f9a8889b818c04a7f9f6cdad0" dmcf-pid="Hk9Y490HrP" dmcf-ptype="general">전통적 파일 전송 탐지 시스템을 무력화하는 이 방식은 보안 업계에 새로운 과제를 던져주고 있다. 피해를 막기 위해선 신뢰할 수 있는 플랫폼이더라도 비정상적 영상 다운로드가 발생하지 않는지 모니터링하고, 의심스러운 프로세스 체인에 대한 분석을 강화해야 한다.</p> <p contents-hash="855ccbcb5ffda6b8807e5fdb7b47602dc52acf60915a8484859f619231bdfe6a" dmcf-pid="XE2G82pXm6" dmcf-ptype="general">특히 멀티미디어 파일에 대한 자체 검사 능력을 향상하고, EDR 플랫폼이 메모리 내 실행되는 페이로드를 탐지할 수 있는지 꼼꼼히 점검해야 한다. </p> </section> </div> <p class="" data-translation="true">Copyright © 보안뉴스. 무단전재 및 재배포 금지.</p> 관련자료 이전 "물리, 가장 차가운 법칙으로 가장 따뜻한 세상을 빚다" 01-23 다음 “저궤도서 美스타링크·中위성 ‘충돌 회피’ 급증… 우주 교통관리 비상” 01-23 댓글 0 등록된 댓글이 없습니다. 로그인한 회원만 댓글 등록이 가능합니다.
