울지않는벌새 : Security, Movie & Society

업데이트 : 알집(ALZip) 9.53 - 유니코드 확장명 조작 파일 방어 기능 추가

벌새::Software

(주)이스트소프트(ESTsoft) 업체에서 제공하는 알집(ALZip) 압축 프로그램이 알집(ALZip) 9.53 버전 업데이트를 통해 "U+202E 유니코드 확장명 조작 공격 방어" 기능이 추가되었습니다.

이번 업데이트에서 추가된 U+202E 유니코드 확장명 조작 공격이라는 것은 파일 확장자명을 "RIGHT-TO-LEFT OVERRIDE (U+202E)" 방식으로 작성하는 것을 의미하며, 이를 통해 Windows 탐색기에서는 잘못된 확장자명으로 표시되어 사용자의 눈을 속이는 방식입니다.

실제 RLO 방식을 통한 악성코드 유포가 국내 토렌트 파일 공유 방식과 이메일 첨부 파일을 통해 지속적으로 발견되고 있다는 점에서 알집(ALZip) 압축 프로그램에서 보안을 위해 훌륭한 선택을 하였다고 평가할 수 있습니다.

 

예를 들어 영화 파일이 추가된 압축 파일 내부를 7-Zip 압축 프로그램을 이용하여 확인해보면 다음과 같은 2개의 동영상 파일 확장자명(.MP4)을 가진 파일이 동봉되어 있는 것을 확인할 수 있습니다.

  • 끝까지간다.A Hard Day.2014.720p.iptv.XviD-AARCS.MP4 :: 동영상 파일(정상)
  • 끝까지간다.A Hard Day.2014.720p.iptv.XviD-AArcs.MP4 :: 유니코드 확장자 조작 파일(악성)

7-Zip 압축 프로그램을 이용하여 압축 파일에 포함된 파일을 압축 해제한 후에도 지속적으로 동영상 파일 확장자명(.MP4)로 표시되어 사용자는 2개의 파일 모두 정상적인 동영상 파일로 생각할 수 있습니다.

 

하지만 알집(ALZip) 9.53 버전을 이용하여 해당 압축 파일 내부를 확인해보면 다음과 같이 유니코드 확장자 조작 파일이 다르게 표시되는 것을 확인할 수 있습니다.

  • 끝까지간다.A Hard Day.2014.720p.iptv.XviD-AA_4PM.scr :: 화면 보호기 파일(악성)
  • 끝까지간다.A Hard Day.2014.720p.iptv.XviD-AARCS.MP4 :: 동영상 파일(정상)

이처럼 알집(ALZip) 9.53 버전에서는 사용자로 하여금 .MP4 동영상 파일처럼 확장자를 조작한 경우와 같이 RLO 방식의 유니코드 확장자를 조작하는 파일에 대한 정확한 확장자명을 표시하며, 관련 파일을 압축 해제한 경우에도 자동으로 역으로 작성된 확장자명을 수정하여 해제하고 있습니다.

물론 위의 모든 것은 사용자가 폴더 옵션에서 "알려진 파일 형식의 파일 확장명 숨기기" 항목의 체크를 해제한 상태에서 확인이 가능한 부분이므로 보안을 위해서는 반드시 폴더 옵션 설정값을 수정하시기 바랍니다.

개인적으로 알집(ALZip) 압축 프로그램의 우측 패널에 트리(Tree) 구조의 탐색기 기능을 추가하여 압축 파일 형태가 아닌 유니코드 확장자 조작 파일을 쉽게 확인할 수 있는 기능을 추가해 주었으면 합니다.

 

그러므로 알집(ALZip) 압축 프로그램 사용자들은 해당 보안 기능을 잘 활용하여 확장자명이 조작된 파일에 속아 실행하는 일이 없도록 주의하시기 바라며, 다른 압축 프로그램 사용자들도 알집(ALZip) 압축 프로그램을 통해 더욱 안전한 파일 관리를 하시길 권장합니다.