![[그림 1] 정상 프로그램과 악성코드 동작 시나리오](https://prod-files-secure.s3.us-west-2.amazonaws.com/dadce419-c708-414f-a284-244035d690f4/a150c351-9031-4c7f-b5c3-5a54323f0059/image.png)
COVID-19 발생 이후 전염병 확산을 방지하기 위해 근무 형태가 다양화되면서 개인이나 기업 등 다양한 산업 분야에서 원격 접속프로그램 사용이 활발해지고 있다. 2020년 6월 하나은행 해킹으로 대량의 개인 및 금융정보 수집에 Gh0st RAT 악성코드가 사용되었으며, 2020년 미국 CISA에서 발표한 ‘Malware Analysis Report (AR20-232A)’에 따르면 북한추정 공격그룹인 히든코브라(HIDDEN COBRA)에서 방위산업업체를 공격하기 위해 원격접속 악성코드인 블라인딩캔(BLINDINGCAN)을 제작해 유포하는 등 원격접속 프로그램을 통한 공격사례라 급증하고 있다.정보보안 업체 Positive Technologies의 분석 결과에 따르면 기업을 대상으로 한 RAT 공격 시도가 2021년 2분기 17%에서 2021년 3분기 36%로 급상승한 것으로 확인되었다. 그렇다면 RAT는 어떤 기능들을 가지고 있는 프로그램이길래 이처럼 다양한 해킹사고에서 사용되고 있는 것일까?
일반적으로 원격 접속 도구(RAT)는 Remote Access Tool, Remote Administrator Tool의 약어로 많이 쓰이고 있으나 최근 악성 파일에서 RAT은 Remote Access Trojan의 약어로 사용되는 추세이다. 그러므로 해당 문서의 RAT은 Remote Access Trojan으로 정의하고 진행하려 한다. RAT은 감염된 시스템의 백도어(Backdoor) 생성을 위해 쓰이는 경우가 많으며 정상 프로그램에 공격자가 제작한 악성코드를 삽입하여 재 유포 하거나 이메일, 파일 공유 사이트 등 다양한 방법으로 유포를 시도하는 것이 특징이다.
[그림 1] 정상 프로그램과 악성코드 동작 시나리오
기본적으로 원격 접속을 통한 PC 제어는 동일한 행위이나 비정상 메커니즘의 경우 악성코드가 정상 프로그램에 삽입되거나 위장한 방식을 이용하여 유포되며 악성코드 실행 이후 공격자와 직접 통신 등 정상 메커니즘과의 차이가 발생한다. [그림 1]과 같은 차이가 발생하는 원인에 대해서 지금부터 알아보려 한다.
원격 접속 도구와 RAT(Remote Access Trojan)의 차이를 보기 전에 원격 접속 도구를 먼저 짚고 넘어가려 한다. 원거리의 PC 또는 서버 제어, 원격 지원 등 현재 사용자가 물리적으로 접근이 힘든 PC에 접근하기 위해 원격 접속 도구를 이용한다. 원격 접속 도구는 매우 다양하게 존재하고 있어 모두를 비교하기는 어려우나 가장 널리 사용 중인 원격 데스크톱(RDP), 팀뷰어(TeamViewer), 크롬 원격 데스크톱(Chrome Remote Desktop)을 이용하여 사용할 수 있는 기능들을 소개하고자 한다.
윈도우 기반 데스크톱, 서버에 기본적으로 설치된 원격 접속 도구로 널리 사용되고 있다. 기본적으로 3389(RDP) 포트를 이용하여 통신을 시도하며 사용자가 원하는 포트로 변경이 가능한 장점이 있다. 또한, 연결된 화면을 전체화면으로 이용할 때 물리 PC에서 사용하듯이 윈도우 조합키 및 단축키 사용이 가능해져 원격 접속으로 인한 큰 불편함 없이 사용할 수 있다. 원격 접속된 PC의 화면은 연결 성공과 동시에 잠기기 때문에 해당 PC의 원격 접속을 이용한 사용 여부를 확인할 수 있다.
![[그림 2] 원격 데스크톱을 이용한 원격접속 화면](https://prod-files-secure.s3.us-west-2.amazonaws.com/dadce419-c708-414f-a284-244035d690f4/feb73ba7-4051-4f1c-ab46-615a4b0c031b/image.png)
[그림 2] 원격 데스크톱을 이용한 원격접속 화면