해커들이 공격을 위해 스테가노그라피 기술을 활용하는 것이 확인됐다.

스테가노그래피는 그리스어로 "감추어져있다"는 뜻인 "stegano"와 그리스어로 "쓰다, 그리다"라는 뜻인 "graphos"의 합성어로 "감추어 쓰다"라는 의미를 가진다. 스테가노그래피 기술은 데이터 은폐 기술 중 하나이며, 데이터를 다른 데이터에 삽입하는 기술 혹은 그 연구를 가리킨다. 공격자들은 사진, 음악, 동영상 등의 일반적인 파일 안에 데이터를 암호화하지 않고 정보를 은닉한다.

보안관련 외신에 따르면, 공격자들은 웹사이트에 업로드된 JPEG 이미지의 EXIF(Exchangeable image file) 헤더에 PHP 스크립트를 숨기고 있었다.

EXIF 포맷은 디지털 카메라로 촬영한 이미지 및 사운드 파일을 처리하기 위해 디지털 카메라(스마트폰 포함), 스캐너 및 기타 시스템이 사용하는 이미지, 사운드 및 보조 태그 포맷을 지정하는 표준이다. 공격자들은 이 스테가노그라피 기술을 통해 악성 웹 쉘을 타깃 웹사이트에 배치했다.

이 공격은 라틴 아메리카의 전자 상거래 사이트를 노린 공격에서 처음 발견되었으며, 공격자들은 이를 통해 PHP 코드를 JPEG 파일의 EXIF 헤더에 삽입했다.

트러스트웨이브 스파이더랩 보안 연구 책임자인 칼사일러는 이 공격이 패치가 모두 완료된 웹사이트에서도 동작한다고 전했다. 보안전문가는 공격자들이 이미지의 EXIF 데이터를 파싱하기 위해 PHP 기능을 이용한다고 설명했다.

EXIF 파싱을 허용하는 기능은 여러 웹사이트에서 툴 및 플러그인에 선탑재되어 설치되었다. 공격자는 특수하게 제작한 이미지를 타깃 사이트에 업로드하고 EXIF 헤더에 숨겨진 코드를 트리거하면 공격이 가능하다.

웹사이트 측에서 이미지를 업로드 기능을 제공하고 EXIF 데이터를 파싱하도록 허용하는 PHP 파일을 가지고 있을 경우 공격자는 악성 이미지를 업로드하고 웹사이트가 EXIF 데이터를 읽기 위해 사용하는 PHP 파일 코드를 읽도록 하면 된다.

이번 공격에서는 악성코드 사이즈를 줄이기 위해 JPEG 이미지의 EXIF 헤더에 드로퍼만을 숨겼다. 전문가들은 해당 공격을 예방하기 위해 이미지 파일의 PHP 태그를 스캔하고 필요 없는 경우 이미지 업로드를 비활성화할 것을 조언했다.

★정보보안 대표 미디어 데일리시큐!★