파일리스 멀웨어의 프로세스 인젝션 기법 해부

프로세스 인젝션, 대체 왜 이렇게 무서운가요?

메모리에 숨어드는 유령 같은 존재

요즘 사이버 보안 기사나 뉴스에서 ‘파일리스 멀웨어'라는 단어, 정말 자주 보이지 않나요? 기존에 우리가 알고 있던 악성코드들은 대부분 실행 파일 형태로 존재해서 백신 프로그램으로 쉽게 찾아내고 삭제할 수 있었죠. 하지만 이 파일리스 멀웨어는 이름 그대로 ‘파일'이 없는 악성코드입니다.

디스크에 굳이 파일을 남기지 않고, 우리 컴퓨터의 메모리나 정상적인 프로세스 안에 숨어들어 활동하기 때문에 탐지가 훨씬 어렵고 교묘하죠. 마치 투명 망토를 입고 다니는 유령처럼, 시스템 깊숙한 곳에서 은밀하게 악성 행위를 벌이는 겁니다. 제가 직접 여러 침해 사례들을 분석해보고 느낀 건, 이런 보이지 않는 공격이 얼마나 심각한 피해를 초래할 수 있는지 몸소 체감하게 된다는 점이에요.

정상적인 프로그램의 코드를 바꿔치기하거나, 메모리 영역에 악성 코드를 직접 심어 넣는 방식이라 정말이지 혀를 내두를 정도입니다.

기존 백신이 놓치기 쉬운 이유

그렇다면 왜 기존 백신 프로그램들은 파일리스 멀웨어나 프로세스 인젝션을 놓치기 쉬울까요? 대부분의 백신은 ‘시그니처 기반' 탐지 방식을 사용합니다. 즉, 이미 알려진 악성코드의 특징적인 코드 패턴(시그니처)을 데이터베이스에 저장해두고, 시스템 내의 파일들을 스캔하면서 이 패턴과 일치하는지 확인하는 방식이죠.

그런데 파일리스 멀웨어는 디스크에 파일을 남기지 않거나, 아주 잠깐만 존재하다 사라져 버리기 때문에 이런 시그니처 기반 탐지로는 걸러내기가 쉽지 않습니다. 더군다나 프로세스 인젝션은 나 처럼 정상적인 윈도우 프로세스에 악성 코드를 주입해서 실행하기 때문에, 백신 입장에서는 ‘정상적인 프로세스가 뭔가 하고 있네?'라고 오인할 가능성이 커지는 거죠.

제가 예전에 어떤 기업의 침해 사고 현장을 보러 갔을 때, 백신은 멀쩡히 작동 중인데 이미 시스템은 마비된 상태를 보고 정말 충격받았던 기억이 생생합니다. 이처럼 기존의 방어 체계를 비웃듯이 뚫고 들어오는 것이 바로 파일리스 공격의 가장 큰 위협이라고 할 수 있습니다.

내 컴퓨터 속 ‘숨은 그림 찾기' – 파일리스 공격의 실체

디스크에 흔적 없이 활동하는 은밀함

파일리스 공격은 말 그대로 파일이 없다는 뜻입니다. 일반적인 악성코드가 실행 파일을 다운로드하거나 생성하여 시스템에 흔적을 남기는 것과는 달리, 파일리스 멀웨어는 메모리나 레지스트리, WMI(Windows Management Instrumentation) 같은 운영체제에 기본적으로 내장된 기능을 악용하여 활동합니다.

덕분에 악성코드가 시스템에 ‘설치'되는 과정 없이 바로 실행되거나, 재부팅 후에도 지속성을 유지할 수 있죠. 제가 실제 분석 사례들을 접하면서 가장 놀랐던 점은, 공격자들이 정말 치밀하게 시스템의 허점을 파고들어 최소한의 흔적만 남기면서도 강력한 악성 행위를 수행한다는 것이었습니다.

특히 PowerShell 같은 스크립트 도구를 활용하여 악성 코드를 직접 실행하거나, 처럼 정교한 스테가노그래피 기법을 이용해 악성 셸코드를 숨겨두는 방식은 정말 탐지하기가 까다롭습니다. 마치 내 컴퓨터 안에서 보이지 않는 손이 활발히 움직이고 있는데, 어디서부터 시작된 건지 알기 어려운 ‘숨은 그림 찾기'를 하는 기분이죠.

정상 프로그램 가장의 달인들

파일리스 공격의 핵심적인 기술 중 하나가 바로 ‘프로세스 인젝션'입니다. 이는 악성 코드를 이미 실행 중인 (윈도우 그림판)나 (메모장)와 같은 정상 프로세스의 메모리 공간에 주입해서 실행하는 기법을 말합니다. 이렇게 되면 악성코드는 마치 정상적인 프로그램의 일부인 것처럼 위장하여 활동할 수 있게 되죠.

제가 직접 테스트 환경에서 이 기법을 재현해 본 적이 있는데, 일반적인 프로세스 목록에서는 악성 행위가 일어나는 프로세스가 정상 프로그램으로 보이기 때문에 이상 징후를 알아차리기가 정말 어려웠습니다. 공격자는 이런 방식으로 네트워크 통신을 하거나 추가 악성코드를 다운로드하는 등의 행위를 정상 프로세스를 통해 수행하므로, 방화벽이나 네트워크 보안 솔루션의 탐지를 우회하기도 쉽습니다.

심지어 일부 고급 악성코드들은 프로세스 제어 블록(PCB)이나 시스템 호출 테이블(Sys-call table) 같은 커널 객체까지 변조하여 시스템의 심장을 바꿔버리는 수준에 이르기도 합니다.

어떻게 내 정상 프로세스가 ‘악당'으로 변할까?

DLL 주입과 셸코드 실행의 비밀

프로세스 인젝션 기법 중 가장 흔하게 사용되는 것이 바로 DLL(Dynamic Link Library) 주입과 셸코드 실행입니다. DLL 주입은 악성 DLL 파일을 특정 프로세스의 메모리 공간에 로드하여 실행시키는 방식인데, 공격자는 함수를 강제로 호출하는 등의 방법을 사용합니다.

이렇게 되면 정상 프로세스는 자신의 의지와 상관없이 악성 DLL 코드를 실행하게 되는 거죠. 예를 들어, 제가 예전에 분석했던 한 악성코드는 웹 브라우저 프로세스에 DLL을 주입해서 사용자의 인터넷 뱅킹 정보를 가로채는 방식이었습니다. 셸코드 실행은 조금 더 직접적인데요, 미리 준비된 악성 코드를 바이트 형태로 프로세스의 메모리 영역에 직접 쓰고, 그 코드를 실행하도록 만드는 방식입니다.

이는 마치 군사 작전에서 ‘침투조'가 적진에 직접 들어가 핵심 시설을 장악하는 것과 비슷하다고 볼 수 있습니다. 같은 악성코드들은 바로 이런 셸코드 인젝션 방식을 활용해 와 같은 정상 프로세스에 악성코드를 주입하는 것으로 알려져 있죠. 이러한 기법들은 시스템 내부에서 아주 은밀하게, 그러나 치명적으로 작동하여 우리를 위협합니다.

취약점을 노리는 악성코드의 심리전

프로세스 인젝션은 단순히 기술적인 측면에서만 이루어지는 것이 아닙니다. 공격자들은 시스템의 보안 취약점을 이용하거나, 사용자의 심리를 이용한 사회공학적 기법을 결합하여 이 공격을 더욱 효과적으로 만듭니다. 예를 들어, 오피스 매크로를 이용한 파일리스 악성코드의 경우, 사용자가 아무 생각 없이 매크로 실행을 허용하는 순간, 악성 스크립트가 실행되어 메모리에 직접 악성 코드를 로드하고 프로세스 인젝션을 수행하는 식으로 작동합니다.

이는 마치 ‘당연히 괜찮을 거야'라고 생각했던 문을 열었는데, 그 안에서 전혀 예상치 못한 공격이 시작되는 것과 같죠. BPFDoor 나 Syslogk 같은 파일리스 루트킷들은 커널 레벨의 취약점까지 파고들어 시스템의 핵심 기능을 장악하기도 합니다. 이런 공격들을 보면 단순히 기술적인 방어뿐만 아니라, 사용자들이 보안 의식을 높이고 의심스러운 행동에 주의를 기울이는 것이 얼마나 중요한지 다시 한번 깨닫게 됩니다.

RoKRAT처럼 교묘한 녀석들, 실제 사례로 만나보니

일상 프로그램을 악용하는 지능적인 수법

이라는 악성코드를 들어보신 분들도 계실 텐데요, 이 녀석은 파일리스 공격 기법을 정말 교묘하게 활용하는 대표적인 사례입니다. 일반적인 악성코드라면 새로운 프로세스를 생성하거나 수상한 파일을 만들 텐데, RoKRAT은 즉, 윈도우 그림판과 같은 너무나도 평범하고 정상적인 프로세스를 대상으로 메모리 인젝션을 수행합니다.

제가 이런 유형의 공격들을 직접 분석하면서 느낀 건, 공격자들이 이제는 우리에게 익숙한 일상적인 프로그램들을 악용하여 ‘악당'으로 둔갑시키는 데 엄청난 재능을 보인다는 것입니다. 덕분에 사용자는 물론, 일부 보안 솔루션들도 이런 악성 행위를 정상적인 프로세스의 활동으로 오인하기 쉽습니다.

실제로 이 활동하는 모습을 보면, 마치 아무 일도 일어나지 않는 것처럼 시스템에서 조용히 명령을 실행하고 데이터를 빼돌리는 것을 볼 수 있습니다. 눈앞에 보이지만 실제로는 투명한 벽과 같아서, 정말 답답하고 탐지하기 어렵다는 느낌을 받았습니다.

변화무쌍한 공격 기법, 스테가노그래피까지?

의 또 다른 특징은 바로 ‘스테가노그래피' 기법을 활용한다는 점입니다. 스테가노그래피는 이미지 파일이나 다른 정상적인 파일 안에 악성 코드를 숨겨두는 방식인데, 겉보기에는 아무 문제 없는 일반 파일처럼 보입니다. 하지만 실제로는 그 안에 숨겨진 악성 셸코드가 존재하고, 이것이 메모리 인젝션 과정에서 활성화되는 거죠.

제가 이런 사례를 접했을 때, ‘와, 정말 여기까지 생각하고 공격하는구나'라며 감탄 반 경악 반의 감정을 느꼈습니다. 단순히 파일을 숨기는 것을 넘어, 파일 안에 내용을 숨기는 방식으로 진화했다는 것은 그만큼 탐지 난이도가 급상승했다는 의미입니다. 이러한 기법들은 정적인 파일 분석으로는 거의 탐지가 불가능하며, 반드시 동적인 행위 분석이나 메모리 포렌식 같은 고도화된 기술이 동반되어야만 그 실체를 파악할 수 있습니다.

그래서 최신 트렌드의 보안 솔루션들은 단순히 파일만 검사하는 것이 아니라, 프로세스의 행위나 메모리 상태를 실시간으로 감시하는 기능들을 강화하고 있습니다.

우리 시스템을 지키는 현실적인 방어 전략은?

행위 기반 탐지의 중요성

파일리스 멀웨어와 프로세스 인젝션 공격에 효과적으로 대응하기 위해서는 기존의 시그니처 기반 탐지 방식만으로는 부족합니다. 이제는 ‘행위 기반 탐지(Behavior-based Detection)'가 필수적입니다. 이 방식은 파일 자체의 특징보다는 프로그램이 어떤 행동을 하는지, 어떤 API를 호출하는지, 네트워크 통신 패턴은 어떤지 등을 종합적으로 분석하여 악성 여부를 판단합니다.

예를 들어, 가 갑자기 외부 IP로 통신을 시도하거나, 다른 프로세스의 메모리 영역에 접근하려고 한다면 이는 의심스러운 행위로 간주하여 차단하는 식이죠. 제가 경험했던 많은 보안 시스템들도 이러한 행위 기반 탐지 기능을 강화하면서 탐지율을 크게 높일 수 있었습니다. 단순히 블랙리스트만으로는 대응하기 어려운 신종 위협에 맞서기 위해서는, 정상적인 행위의 기준을 정립하고 그 기준에서 벗어나는 모든 비정상적인 행위를 면밀히 감시하는 능력이 중요합니다.

커널 레벨 보호, 왜 필요할까요?

프로세스 인젝션 공격이 점점 더 고도화되면서, 일부 공격자들은 운영체제의 핵심인 ‘커널' 영역까지 침투를 시 시도합니다. 나 같은 파일리스 루트킷들은 커널 객체인 프로세스 제어 블록(PCB)이나 시스템 호출 테이블(Sys-call table)을 변조하여 시스템의 근본적인 동작을 조작하려고 합니다.

이런 공격은 시스템의 심장을 직접 건드리는 것이나 다름없기 때문에, 일반적인 사용자 모드(User Mode)에서 동작하는 보안 솔루션으로는 탐지하거나 막아내기 어렵습니다. 그래서 ‘커널-보호형' EPP(Endpoint Protection Platform) 솔루션이나 고급 위협 방어(ATP) 솔루션들이 주목받고 있습니다.

이들은 커널 레벨에서 시스템의 무결성을 감시하고, 비정상적인 접근이나 변조 시도를 실시간으로 탐지하여 차단합니다. 제가 직접 이런 커널 레벨 보호 기능을 갖춘 솔루션들을 테스트해봤을 때, 시스템의 안정성은 물론이고 악성코드의 침투 경로를 원천적으로 차단하는 데 매우 효과적이라는 것을 확인할 수 있었습니다.

탐지하기 힘든 공격, 어떤 방법으로 찾아낼까?

메모리 포렌식을 통한 흔적 찾기

파일리스 멀웨어나 프로세스 인젝션 공격은 디스크에 흔적을 남기지 않기 때문에, 공격이 발생했을 때 이를 분석하고 대응하기 위한 핵심적인 방법이 바로 ‘메모리 포렌식'입니다. 메모리 포렌식은 공격이 진행 중이거나 종료된 시스템의 휘발성 메모리(RAM) 덤프를 확보하여, 그 안에 남아있는 악성코드의 흔적을 분석하는 기법입니다.

제가 실제 침해 사고 분석에서 메모리 포렌식을 활용해본 경험으로는, 와 같은 도구를 사용하면 숨겨진 프로세스를 탐지하거나 (), 프로세스 인젝션 흔적을 찾아내는 데 아주 유용했습니다. 메모리 안에는 실행 중인 프로세스의 코드, 데이터, 스택, 힙 정보 등이 모두 남아있기 때문에, 비록 파일 형태는 아니더라도 악성코드의 실체를 파악하고 작동 방식을 역추적할 수 있습니다.

이는 마치 범죄 현장에 남겨진 지문이나 DNA처럼, 보이지 않는 곳에 남아있는 결정적인 증거를 찾아내는 과정이라고 할 수 있습니다.

프로세스 제어 블록(PCB) 모니터링

좀 더 전문적인 관점에서 보면, 프로세스 인젝션 탐지에는 ‘프로세스 제어 블록(PCB)' 모니터링이 매우 중요합니다. PCB는 운영체제가 각 프로세스의 상태를 관리하기 위해 사용하는 핵심적인 데이터 구조인데, 여기에는 프로세스의 ID, 상태, 우선순위, 메모리 공간 정보 등 모든 중요한 정보가 담겨 있습니다.

파일리스 루트킷과 같은 고도화된 악성코드들은 이러한 PCB나 시스템 호출 테이블을 변조하여 자신을 숨기거나 시스템의 제어권을 탈취하려 합니다. 따라서 커널 레벨에서 PCB의 변조 여부를 지속적으로 감시하고, 비정상적인 수정 시도를 탐지하는 것은 프로세스 인젝션 공격을 사전에 막거나 사후에 분석하는 데 결정적인 단서가 될 수 있습니다.

실제로 저 같은 보안 전문가들은 이런 시스템의 ‘심장' 부분을 예의주시하며, 미세한 변화라도 놓치지 않으려 노력합니다. 이는 악성코드의 움직임을 가장 근본적인 수준에서 파악하고 대응하는 가장 효과적인 방법 중 하나입니다.

미래의 사이버 위협, 프로세스 인젝션은 어떻게 진화할까요?

AI 기반 탐지 회피 기술의 등장

지금도 프로세스 인젝션은 끊임없이 진화하고 있지만, 앞으로는 인공지능(AI) 기술이 접목되어 더욱 지능화될 것으로 예상됩니다. AI는 스스로 학습하고 패턴을 인식하는 능력이 뛰어나기 때문에, 공격자들이 AI를 활용하여 보안 솔루션의 탐지 로직을 우회하는 새로운 기법들을 개발할 수 있습니다.

예를 들어, 악성코드가 실행될 때마다 코드 형태를 미묘하게 바꾸거나, 특정 환경에서만 악성 행위를 수행하는 등 AI가 탐지하기 어려운 ‘변칙적 행동'을 만들어낼 수 있습니다. 제가 최근에 여러 보안 연구 보고서들을 보면서 가장 우려했던 부분이 바로 이런 AI 기반의 회피 기술들입니다.

이는 마치 체스 게임에서 상대방의 수를 예측하고 거기에 맞춰 자신의 전략을 끊임없이 바꾸는 것과 같습니다. 따라서 방어자 입장에서는 AI 기반의 위협 탐지 및 예측 기술을 도입하여, 공격자들의 진화 속도에 맞춰 함께 발전해나가야 할 것입니다.

운영체제 깊숙이 파고드는 새로운 기법들

현재도 프로세스 인젝션은 커널 레벨까지 영향을 미치고 있지만, 미래에는 운영체제의 더욱 깊숙한 부분이나 하드웨어 수준까지 파고드는 새로운 인젝션 기법들이 등장할 가능성이 큽니다. 예를 들어, 펌웨어(Firmware)나 UEFI(Unified Extensible Firmware Interface) 같은 부팅 과정의 핵심 요소들을 노리거나, 가상화(Virtualization) 기술의 허점을 이용한 공격들이 더욱 많아질 수 있습니다.

이런 공격들은 운영체제가 로드되기 전이나 가상 머신이 실행되는 환경에서 악성코드를 주입하기 때문에, 기존의 소프트웨어 기반 보안 솔루션으로는 거의 탐지가 불가능합니다. 제가 과거에 접했던 몇몇 개념 증명(PoC) 공격들을 보더라도, 이미 이런 방향으로 연구가 진행되고 있다는 것을 짐작할 수 있었습니다.

따라서 우리는 단순한 소프트웨어 방어를 넘어, 하드웨어 보안 모듈이나 펌웨어 무결성 검증 같은 보다 근본적인 보안 체계를 갖추는 데 관심을 기울여야 합니다.

구분	기존 파일 기반 악성코드	파일리스 악성코드 (프로세스 인젝션 포함)
흔적	실행 파일, DLL 파일 등 디스크에 흔적을 남김	메모리, 레지스트리, WMI 등에 흔적을 남기거나 아예 남기지 않음
탐지 난이도	시그니처 기반 백신으로 비교적 탐지 용이	시그니처 우회, 행위 기반 또는 메모리 포렌식 필요, 탐지 어려움
활용 기술	주로 악성 파일 실행	프로세스 인젝션, 셸코드 실행, 스크립트 악용 (PowerShell), DLL 주입, 스테가노그래피
악용 대상	독립적인 악성 프로그램	정상 프로세스 (, ), 운영체제 내장 기능
지속성	파일 존재 시 지속	레지스트리 등록, WMI 이벤트 등 다양한 방법으로 지속성 유지

글을 마치며

프로세스 인젝션과 파일리스 멀웨어는 이제 더 이상 먼 나라 이야기가 아닌, 우리 모두의 시스템을 위협하는 현실적인 공격 수단이 되었습니다. 눈에 보이지 않는 곳에서 은밀하게 활동하며 우리의 소중한 정보와 자산을 노리는 이 교묘한 위협에 맞서기 위해서는, 기존의 방어 체계를 넘어서는 새로운 접근 방식이 절실하다고 제가 직접 경험을 통해 느꼈습니다.

단순히 백신 하나만 믿기보다는, 시스템의 깊숙한 곳까지 들여다볼 수 있는 통찰력과 끊임없는 관심이 필요합니다. 오늘 이 포스팅이 여러분의 디지털 방패를 한층 더 견고하게 만드는 데 작은 도움이 되었기를 진심으로 바랍니다.

알아두면 쓸모 있는 정보

1.

최신 보안 업데이트는 기본 중의 기본! 운영체제와 사용 중인 모든 소프트웨어의 보안 업데이트를 게을리하지 마세요. 대부분의 파일리스 공격은 알려진 취약점을 파고들기 때문에, 업데이트만 잘해도 많은 위협을 사전에 차단할 수 있습니다. 제가 직접 경험해본 바로는, ‘귀찮아서 다음에 해야지' 하고 미루는 순간이 가장 위험한 순간이 되곤 했습니다. 작은 관심이 큰 피해를 막는다는 점, 꼭 기억해주세요.

2.

의심스러운 이메일이나 파일은 절대 열지 마세요. 사회공학적 기법은 여전히 가장 강력한 공격 수단 중 하나입니다. 출처가 불분명한 메일이나 첨부 파일, 링크는 클릭하기 전에 다시 한번 의심하고 확인하는 습관을 들이세요. 제가 아는 한 지인은 “설마 내가 당하겠어?”라고 생각했다가 큰 피해를 입은 적이 있는데, 공격자들은 우리의 그런 방심을 노립니다. 항상 한 번 더 확인하는 습관이 중요합니다.

3.

행위 기반 탐지 기능이 강화된 보안 솔루션 사용을 고려해보세요. 기존 시그니처 기반 백신만으로는 파일리스 공격을 막기 어렵습니다. 프로세스의 비정상적인 행위를 실시간으로 감시하고 차단하는 EDR(Endpoint Detection and Response)이나 차세대 백신(NGAV)과 같은 솔루션 도입을 적극적으로 검토하는 것이 중요합니다. 제 경험상, 이런 솔루션들은 정말 ‘숨은 악당'을 찾아내는 데 탁월한 능력을 발휘했습니다.

4.

정기적인 백업은 선택이 아닌 필수! 아무리 잘 방어해도 100% 안전할 수는 없습니다. 만약의 사태에 대비하여 중요한 데이터는 항상 외장하드나 클라우드에 정기적으로 백업해두는 습관을 들여야 합니다. 랜섬웨어와 같은 공격으로 모든 데이터가 잠기는 최악의 상황에서도 백업만 잘 되어 있다면 언제든 복구할 수 있다는 점, 저에게는 가장 든든한 보험과도 같았습니다.

5.

사용자 계정 권한을 최소화하여 사용하세요. 평소에는 관리자 계정 대신 일반 사용자 계정을 사용하는 것이 좋습니다. 악성코드가 시스템에 침투하더라도, 최소한의 권한으로 인해 시스템 전체에 미치는 피해를 줄일 수 있습니다. 마치 집에 도둑이 들더라도 가장 중요한 보물 창고는 이중 삼중 잠금 장치를 해두는 것과 같다고 생각하시면 이해하기 쉬울 거예요. 작은 습관의 변화가 큰 보안 효과를 가져올 수 있습니다.

중요 사항 정리

파일리스 공격의 핵심은 ‘은밀함'

프로세스 인젝션은 디스크에 파일을 남기지 않고 메모리나 정상 프로세스 안에 악성코드를 숨겨 실행하는 기법입니다. 나 와 같은 평범한 프로그램조차 악성코드의 숙주가 될 수 있다는 사실은 제가 여러 차례 현장에서 확인한 바, 정말 놀랍고도 위험한 현실입니다. 이런 공격들은 기존의 시그니처 기반 백신으로는 탐지하기가 매우 어렵다는 특징을 가집니다. 마치 투명 망토를 입은 공격자처럼, 시스템 깊숙한 곳에서 조용히 활동하며 치명적인 결과를 초래할 수 있습니다.

진화하는 공격에 맞서는 방어 전략

이러한 위협에 효과적으로 대응하기 위해서는 단순히 알려진 악성코드 패턴을 찾는 것을 넘어, 프로세스의 비정상적인 ‘행위'를 분석하고 탐지하는 것이 필수적입니다. 더 나아가, 처럼 스테가노그래피를 활용하거나 커널 객체를 변조하는 고도화된 공격에 대비하여 메모리 포렌식, 커널 레벨 보호, 그리고 끊임없는 보안 업데이트가 반드시 동반되어야 합니다. 결국, 기술적인 방어뿐만 아니라 사용자의 보안 의식을 높이는 것이 가장 중요하다고 저는 늘 강조하고 싶습니다. 우리 스스로가 가장 강력한 방어막이 되어야 합니다. 끊임없이 변화하는 위협 속에서 항상 경계심을 늦추지 않는 것이야말로 우리의 디지털 자산을 지키는 가장 현명한 방법입니다.