파워쉘(Powershell)은 윈도우 7 이상의 버전에서 기본적으로 탑재되어 있는 쉘 프로그램이다. 일반적인 쉘 프로그램과 다른 점은 닷넷(.NET) 계열의 스크립트를 실행시킬 수 있으며 그만큼 강력한 기능을 가지고 있어 시스템의 관리자가 유용하게 사용할 수 있다.
이러한 강력한 기능 때문에 익스플로잇 킷과 결합하여 악성코드를 다운로드 및 실행하는 방법으로 간단한 스크립트 명령을 이용한 파워쉘이 이용되고 있다. 파워쉘을 이용한 악성코드 유포 기법은 국내에 작년 5월 처음 등장하여 최근까지 크게 증가하고 있는 추세이다.
국내에 파워쉘을 이용하여 감염되고 있는 악성코드의 상당수는 랜섬웨어이다. 랜섬웨어에 감염되었을 경우 많은 종류의 문서파일을 암호화하고 금전을 요구하며 암호화된 문서파일은 금전을 지불하지 않으면 일반적인 방법으로는 복구하기 어렵다.
최상명 CERT실장은 “강력한 파워쉘의 기능 덕분에 기존의 단순 다운로드 쉘코드를 대체한 악성코드 다운로드 공격이 계속 증가하고 있다”라며, “파워쉘이 꼭 필요한 경우가 아닌 경우 파워쉘에 대한 실행 통제를 통해 악성코드 감염 피해를 최소화할 수 있다”라고 밝혔다.
파워쉘을 이용하여 유포되는 악성코드에 대해서는 하우리 관제 시스템에 의해 조기에 탐지되며 자동으로 바이로봇 백신에 패턴으로 등록되어 진단 및 치료가 가능하다. 또한 취약점 공격 사전차단 솔루션인 ‘바이로봇 에이피티 쉴드’를 통해서도 사전차단이 가능하다.
★정보보안 대표 미디어 데일리시큐!★
<데일리시큐 길민권 기자> mkgil@dailysecu.com
■ 보안 사건사고 제보 하기
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
저작권자 © 데일리시큐 무단전재 및 재배포 금지
