영상 픽셀 속 악성코드, '픽셀코드(PixelCode)' 공격기법
영상 픽셀 속 악성코드, '픽셀코드(PixelCode)' 공격기법
최근 멀티미디어 파일의 픽셀(Pixel) 데이터를 악성 페이로드 저장소로 활용하는 이른바 ‘픽셀코드(PixelCode)’ 공격 기법이 등장하여 주의가 필요합니다. 이는 스테가노그래피(Steganography) 기술을
blog.alyac.co.kr
픽셀 코드 정의
픽셀코드
: 바이너리 데이터를 사람이 인식하는 색상 정보(픽셀)로 변환하여 이미지나 영상 속에 삽입하는 기술
- 스테가노그래피 기술을 고도화하여 보안 솔루션의 탐지망을 정교적으로 우회하는 방식
- 외형상 일반 미디어 파일과 구분이 어려움
픽셀코드 공격 시나리오 및 매커니즘
공격자가 신뢰 기반의 플랫폼과 파일리스 실행 기법을 결합하여 다단계 프로세스 수행
*파일리스(Fileless) 실행 기법:
| 단계 | 상세 내용 |
| 1단계: Payload Preparation | C++ 기반의 악성 EXE를 픽셀 단위 데이터로 인코딩하여 정상적인 MP4 영상 파일 생성 |
| 2단계: Staging & Hosting | 유튜브와 같은 합법적인 플랫폼에 영상을 업로드 하여 네트워크 보안 장비 탐지를 우회하고, 영상에서 데이터를 추출한 '스테이저'를 포함한 최종 배포용 '로더(Loader)' 제작 |
| 3단계: Infection & Execution | 감염된 pc에서 로더가 영상을 다운로드 한 후에 메모리 상에서 픽셀을 바운너리로 복원하여 실행(C2 서버 연결) |
*스테이저:
주요 위협 요인 및 분석 회피 기술
비실행 포맷(Non-execuable) 활용
: 백신이 MP4 파일 스캔할 때 픽셀값에 분산된 데이터는 명확한 코드 구조나 시그니처가 존재하지 않아 정적 분석 단계에서 식별이 어려움
정상 트래픽 위장
: 대형 스트리밍 도메인과의 통신은 기업 보안 환경에서 기본적으로 허용되어 있어서 트래픽 분석 우회
파일리스 및 프로세스 인젝션
: 디스크를 쓰지 않고 메모리 상에서 직접 동작하여 흔적 최소화 및 정상 프로세스에 인젝션되어 동작될 경우 보안 솔루션이 정상 행위로 오인할 수 있음
대응 전략 및 보안 권고 사항
개인 사용자 가이드
- 출처 불분명한 영상 다운로드. 코덱 설치 요구 주의
- 공식 플랫폼 외의 영상 다운로드 도구 사용 지양
- OS 및 엔드포인트 보안 엔진 최선 버전 유지
기업 보안 관리자 가이드
- CDR(Content Disarm & Reconstruction) 기술 검토
- 특정 프로세스의 비정상적인 외부 통신(EDR/XDR) 모니터링
- 제로 트러스트 기반의 콘텐츠 검증 체계 강화
'SWUFORCE > 기술 스터디' 카테고리의 다른 글
| “애플·페이팔 메일도 믿을 수 없다” DKIM 리플레이 공격으로 진화한 송장 피싱 주의 (0) | 2026.05.13 |
|---|---|
| AI 열풍 뒤의 그림자: Claude 모듈로 위장한 악성코드 (0) | 2026.05.06 |
| [IGLOO] 자율형 보안운영센터(Autonomous)란 무엇인가요? (0) | 2026.05.03 |
| 피지컬 AI(Physical AI)란 무엇인가요? (0) | 2026.03.27 |
| 파일이 흩어지면 보안도 흩어진다! 구축형 프라이빗 클라우드 스토리지, '인터넷디스크' (0) | 2026.03.23 |