이미지 파일로 위장한 악성코드 유형 분석

증상 확인: 이상한 이미지 파일을 열었나요?

사용자가 보낸 “사진.jpg” 파일을 열었는데, 갑자기 팝업 광고가 쏟아지거나, 백신 프로그램이 비정상 종료되기 시작했습니다. 혹은 파일을 다운로드만 했는데도 시스템이 느려지고, 알 수 없는 프로세스가 CPU를 점유하는 것을 작업 관리자에서 확인할 수 있습니다. 이는 전형적인 이미지 파일로 위장한 악성코드의 초기 증상입니다. 파일 확장자가 .jpg, .png, .bmp로 보이지만, 실제로는 실행 파일(.exe)이거나 악성 스크립트가 포함된 파일입니다.

원인 분석: 단순한 사진이 아닌 이유

기술적 핵심은 “파일 확장자 속이기”와 “이중 확장자”에 있습니다. 윈도우는 기본적으로 알려진 파일 확장자를 숨기는 설정이 되어 있습니다. 공격자는 `malware.jpg.exe` 같은 파일을 생성합니다. 윈도우 탐색기에서 마지막 `.exe`가 숨겨져 사용자에게는 `malware.jpg`로만 보이게 합니다. 사용자가 이를 클릭하면, 숨겨진 실제 확장자(.exe)에 의해 실행 파일이 작동합니다. 또 다른 방식은 정상 이미지 파일 포맷 헤더 뒤에 악성 코드를 덧붙이거나, 이미지 메타데이터(EXIF)에 악성 스크립트를 삽입하여 특정 이미지 뷰어의 취약점을 통해 실행을 유도하는 것입니다.

주의사항: 이 글에서 다루는 해결 방법은 감염 직후 초기 대응 및 예방을 위한 것입니다. 이미 시스템이 심각하게 감염되어 금융 정보 유출이나 랜섬웨어 암호화가 발생한 경우, 즉시 네트워크를 차단(랜선 분리, Wi-Fi 해제)하고 전문 보안 업체에 의뢰해야 합니다. 개인적인 복구 시도는 증거를 파괴하거나 상황을 악화시킬 수 있습니다.

해결 방법 1: 즉시 실행해야 할 초기 대응 조치

의심스러운 파일을 실행했거나 다운로드한 직후라면, 서둘러 다음 단계를 수행하십시오. 시간이 핵심입니다.

1. 네트워크 연결 차단: 인터넷 랜선을 뽑거나, Wi-Fi를 끄십시오. 이는 악성코드가 명령 서버(C&C)와 통신하거나 추가 페이로드를 다운로드하는 것을 차단합니다.
2. 시스템 복원 지점 생성 (가능하다면): 네트워크 차단 후, 즉시 Win + R 키를 눌러 sysdm.cpl을 입력하고 [시스템 보호] 탭에서 [만들기]를 클릭해 현재 상태의 복원 지점을 생성하십시오. 감염이 심하지 않을 경우 이후 복구에 사용할 수 있습니다.
3. 안전 모드 부팅 및 검사: 컴퓨터를 재시작하고, 윈도우 로고가 나타나기 전에 F8 키(윈도우 10/11은 설정 > 복구 > 고급 시작 > 다시 시작)를 연타해 안전 모드(네트워킹 사용 안 함)로 부팅합니다. 기존에 설치된 백신 프로그램으로 전체 검사를 실행하십시오.

해결 방법 2: 숨겨진 확장자 노출 및 파일 식별

근본적인 예방을 위해, 시스템 설정을 변경하여 모든 파일 확장자를 보이게 해야 합니다. 이는 가장 효과적인 1차 방어선입니다.

1. 파일 탐색기를 열고, 상단 메뉴에서 [보기] > [표시]를 선택합니다.
2. 드롭다운 메뉴에서 [파일 확장명] 옵션이 체크되어 있는지 확인합니다. 체크되어 있지 않다면 클릭하여 활성화합니다.
3. 동일한 [표시] 메뉴에서 [숨긴 항목]도 체크하여 숨김 파일과 폴더를 볼 수 있게 합니다.

이제 파일 탐색기에서 모든 파일의 실제 이름을 볼 수 있습니다. 다음은 위험한 파일의 예시입니다.

• 졸업사진.jpg.exe – 이제 .exe 부분이 명확히 보입니다.
• invoice.png.scr – .scr(화면 보호기) 파일도 실행 파일입니다.
• 내문서.pdf.lnk – 악성 명령이 포함된 바로가기 파일일 수 있습니다.

의심스러운 파일을 발견했다면, 절대 클릭하지 마십시오. 마우스 오른쪽 버튼으로 클릭하고 [속성]을 확인하십시오. [세부 정보] 탭에서 ‘파일 설명’이나 ‘원본 이름’이 이미지 뷰어가 아닌 이상한 이름으로 되어 있을 수 있습니다.

고급 확인: 파일 해시값 검증

파일의 디지털 지문인 해시값을 확인하면 100% 확신할 수 있습니다. 정상적인 공식 이미지 파일의 해시값(MD5 또는 SHA-256)을 공식 웹사이트에서 제공하는 경우가 있습니다.

1. 의심 파일이 있는 폴더에서 Shift + 마우스 오른쪽 클릭 후 “여기에 PowerShell 창 열기”를 선택합니다.
2. 다음 명령어를 입력하여 파일의 SHA256 해시값을 확인합니다: Get-FileHash -Algorithm SHA256 "파일명.확장자" | Format-List
3. 출력된 해시값을 공식 출처의 해시값과 비교합니다. 일치하지 않으면 악성 파일일 가능성이 극히 높습니다.

해결 방법 3: 시스템적 방어 및 예방 설정

일회성 조치가 아닌, 지속적인 보안 체계를 구축해야 합니다.

1. 사용자 계정 컨트롤(UAC) 최고 수준 유지: 제어판 > 사용자 계정 > 사용자 계정 컨트롤 설정 변경에서 슬라이더를 최상위로 올립니다. 이는 프로그램이 시스템 변경을 시도할 때마다 관리자 권한을 요구하게 합니다.
2. 기본 프로그램 변경: 알 수 없는 출처의 이미지 파일은 가벼운 샌드박스(Sandbox) 환경에서 실행할 수 있는 전용 뷰어로 열도록 설정합니다, 또는 가상 머신(vm) 내에서 확인하는 습관을 들이십시오.
3. windows defender 애플리케이션 제어 (엔터프라이즈 환경): 윈도우 10/11 pro 이상에서는 코드 무결성 정책을 구성하여 사전에 허용된 응용 프로그램만 실행되도록 강제할 수 있습니다. 이는 가장 강력한 방어이지만 설정이 복잡합니다.

주의사항 및 전문가 팁

기술적 조치 외에도, 사용자 행동 패턴을 교정하는 것이 가장 중요합니다.

• 출처 불명의 링크 경계: 이메일, 메신저, SNS를 통해 전송된 이미지 파일은 발신자를 다시 한번 확인하십시오, url을 살펴보고, 짧은 url(bit.ly 등)은 확장 도구를 사용해 원본 주소를 확인하십시오.
• 백업의 철칙: 중요한 데이터는 3-2-1 백업 원칙을 따르십시오. (원본 데이터 3개 복사본, 2가지 다른 매체, 1개는 오프사이트 보관) 랜섬웨어는 이미지뿐만 아니라 모든 문서를 암호화할 수 있습니다.
• 소프트웨어 최신 상태 유지: 운영체제, 이미지 뷰어, 브라우저, Adobe Flash(사용 중이라면) 등을 항상 최신 버전으로 업데이트하십시오. 공격자는 구버전의 알려진 취약점을 이용합니다.

프로 팁: 정적 분석 환경 구축 보안에 관심이 많은 실무자라면, 기본적인 정적 분석을 위한 환경을 구축하십시오. VirusTotal 웹사이트에 업로드하여 70여 개의 백신 엔진으로 동시 검사할 수 있습니다. (주의: 민감한 파일은 업로드 금지) 또한, PEStudio나 Resource Hacker와 같은 무료 도구로 의심 파일의 내부 리소스(아이콘, 문자열, 임포트 함수)를 살펴보면, 이미지 파일이라 주장하는 실행 파일의 허점을 쉽게 찾을 수 있습니다. 특히, .jpg 파일이 갑자기 네트워크 관련 DLL을 로드하려 한다면 이는 명백한 적신호입니다. 이러한 도구 사용법을 익히는 것은 단순한 문제 해결을 넘어, 위협에 대한 사전 탐지 능력을 키우는 지름길입니다.