울지않는벌새 : Security, Movie & Society

"안전 폴더" 보안 기능이 추가된 알집(ALZip) 11 버전

벌새::Software

(주)이스트소프트 업체에서 서비스하는 알집(ALZip) 압축 프로그램이 최근 ALZip 11 버전 업데이트를 통해 "안전 폴더" 악성코드 실행 차단 기능을 추가하여 살펴보도록 하겠습니다.

 

알집 - 안전 폴더 소개

압축 파일은 내부에 포함된 파일을 사용자로 하여금 직접 실행하도록 유도하여 악성코드 또는 랜섬웨어(Ransomware) 감염을 일으키는 대표적인 유포 방식 중 하나입니다.

 

알집 - 안전 폴더 동작 방식

이에 알집(ALZip) 압축 프로그램에서는 안전 폴더 개념을 도입하여 안전 폴더로 압축 해제된 의심스러운 파일의 실행 자체를 차단하는 방식입니다.

 

이중 파일 확장명이 포함된 압축 파일

예를 들어 메일에 첨부된 압축 파일(.egg)을 받아서 실행할 경우 알집 프로그램에서는 내부 파일을 보여줍니다.

 

압축 파일 내에 존재하는 파일은 기존에 GandCrab 랜섬웨어 대응 강화 차원에서 이중 파일 확장명을 사용할 경우 표시되도록 수정하여 그림 파일(.jpg)이 아닌 응용 프로그램(.exe)임을 쉽게 알 수 있습니다.

 

여기에서 대부분의 사용자는 2가지의 선택을 하게 되는데 ① 사진 파일이 아닌 응용 프로그램(.exe)임을 눈치채고 파일 실행을 하지 않는 경우 ② 사진 파일(.jpg)로 생각하고 알집 프로그램 상에서 파일을 직접 실행하는 경우입니다.

 

알집 - 의심 파일 경고

1차적으로 알집 프로그램 내에서 의심되는 파일(이중 파일 확장명으로 구성된 파일)을 직접 실행할 경우 "의심 파일 경고" 메시지 창을 통해 주의를 주고 있으므로 사용자는 반드시 "아니오" 버튼을 클릭하여 압축 해제를 취소해야 합니다.

 

여기에서 중요한 점은 "의심되는 파일이 포함되어 있습니다. 압축해제를 진행하시겠습니까?"라는 메시지를 착각하고 단순히 파일을 압축 해제하는 것으로 생각할 수 있는데 앞서 사용자가 응용 프로그램(.exe)을 실행한 것이므로 압축 해제를 하는 순간 자동으로 실행까지 연결되므로 "예" 버튼을 클릭하면 안됩니다.

 

그렇다면 안전 폴더 기능을 이용하여 의심되는 파일을 압축 해제하여 실행할 경우 어떻게 처리되는지 살펴보겠습니다.

 

알집 - 의심 파일 경고를 통한 안전 폴더에 풀기

기본적으로 의심 파일이 포함된 압축 파일을 해제할 경우 "의심 파일 경고" 메시지 창을 통해 "안전폴더에 풀기"를 안내하고 있으므로, 사용자는 반드시 안전 폴더에 압축 해제를 하는걸 추천합니다.

 

알집 - 안전 폴더에 압축 풀기

또는 압축 파일을 마우스 우클릭을 통해 처음부터 "안전폴더에 압축 풀기" 메뉴를 선택할 수도 있습니다.

 

알집 - 안전 폴더에 압축 풀기 (압축 풀 위치 선택)

다음 단계에서는 안전 폴더로 압축 해제할 폴더 위치를 선택한 후 "확인" 버튼을 클릭하시기 바랍니다.

 

알집 - 안전 폴더를 여는 중

안전 폴더로 압축 해제가 완료된 후에는 "알전폴더를 여는 중" 메시지 창을 통해 생성된 안전 폴더로 열지 아니면 일반 폴더로 전환할지 선택을 할 수 있으며, 압축 해제된 파일을 안전하게 확인하기 위해서는 우선 "안전폴더 열기" 버튼을 클릭하시기 바랍니다.

 

안전 폴더 내부 모습

안전 폴더로 압축 해제된 폴더명을 확인해보면 "[안전폴더]폴더명" 형태로 구성되어 있으며, 내부에는 압축 해제된 파일이 존재합니다.

 

해당 파일은 "원본 이미지.jpg <긴 공란> .exe" 형태로 구성된 이중 파일 확장명을 가지고 있으며, Windows 탐색기에서는 그림 파일(.jpg)로 보이지만, 실제로는 맨 뒤에 응용 프로그램(.exe) 확장명이 추가되어 있는 악성 파일입니다.

 

안전 폴더 내에서 실행된 악성 파일

안전 폴더로 압축 해제된 이중 파일 확장명을 가진 파일을 실행할 경우 "지정한 장치, 경로 또는 파일에 액세스할 수 없습니다. 이 항목에 액세스할 수 있는 권한이 없는 것 같습니다." 메시지 창을 생성하며 파일 실행이 이루어지지 않습니다.

 

안전 폴더와 일반 폴더 모습

참고로 그림 파일을 압축 해제할 때 안전 폴더인 경우와 일반 폴더의 모습은 위와 같은 폴더 모양의 차이를 가지고 있으며, 안전 폴더를 클릭할 경우 "안전폴더를 여는 중" 메시지 창을 먼저 생성하여 안전 폴더로 접속할지 안전 폴더를 해제하여 일반 폴더로 전환할지 묻습니다.

 

일반 폴더에서 실행된 악성 파일의 정체

만약 안전 폴더 내에서 실행하지 않고 일반 폴더 내에서 의심되는 파일(이중 파일 확장명)을 실행할 경우에는 위와 같이 파일을 암호화하는 랜섬웨어(Ransomware) 피해를 당하는 모습을 확인할 수 있습니다.

 

그러므로 메일 첨부 파일로 인하여 랜섬웨어나 악성코드 피해를 당한 경험이 있거나 압축 파일에 대한 보안 강화를 원하는 경우에는 알집(ALZip) 압축 프로그램에서 제공하는 안전 폴더 기능을 잘 활용해 보시기 바랍니다.