|
엠파이어는 마이크로소프트의 코딩 프로그램인 ‘파워쉘’을 이용해 만든 오픈소스 형태 악성코드로, 주로 로그인 계정 정보 탈취를 목적으로 한다. 암호화된 통신을 사용해 자신들이 주고 받는 데이터가 노출되지 않도록 보안 솔루션을 속이고, 별도 파일없이 퍼지는 ‘파일리스(fileless)’ 방식으로 추적이 어렵다.
주로 문서 파일에 삽입된 매크로를 이용해 악성코드를 퍼뜨리며, 탈취한 정보를 해커의 서버로 빼내가거나 원격 제어 명령을 실행한다. 윈도 운영체제 안에서 정상 작동하는 파워쉘 코드를 이용하기 때문에 악성코드를 탐지하기가 쉽지 않다.
공격자들은 이를 이용해 지능형 지속위협(APT)을 가해 자신들의 목적 달성에 악용한다. 누구나 활용할 수 있는 오픈소스 형태이기 때문에 상대적으로 해킹 지식이 적은 해커도 이용할 수 있는 우려가 있다.
최상명 하우리 CERT실장은 “최근 평창 올림픽을 주제로 한 타깃 공격에도 ‘엠파이어’ 프레임워크가 사용되었다”며 “이를 이용한 공격이 더욱 많아질 것으로 예상되기 때문에 보안 담당자들의 많은 관심과 주의가 필요하다”고 밝혔다.
