NEW 시큐레터 CDR 백서 발행 — MARS 분석 + CDR 무해화, N2SF 시대의 콘텐츠 보안 표준 답안 백서 다운로드 →
KO
문의하기 PoC 신청
← 블로그 목록
L1 · 입문 위협 연표

매크로 악성코드 30년 진화 1992-2026 —
Concept·Melissa·Emotet·XLM 부활·포스트매크로까지

1992 Excel XLM 4.0부터 1995 Concept, 1999 Melissa, 2014 Emotet, 2020 XLM 부활, 2022 Microsoft 기본 차단, 2023 OneNote, 2024 GrimResource MSC까지. 30년 매크로 악성코드의 진화와 CDR 방어 원리.

시큐레터 보안연구팀 · 2026.04.21 · 읽기 26분
MACRO MALWARE EVOLUTION · 1992-2026 1992 XLM 4.0 Excel 4.0 1995 Concept 최초 WM 1999 Melissa VBA·FBI 2000 ILOVEYOU VBS 10M 2014 Emotet VBA 뱅킹 2020 XLM 부활 QakBot 2022.2 MS 기본 차단 공지 2023+ OneNote MSC·LNK ⚠️ 2022.2.7 Microsoft 기본 차단 공지 → 2022.7 Proofpoint 약 66% 감소 기록 ISO·RAR·LNK 컨테이너 전환 약 175% 증가 · 매크로에서 "포스트매크로"로 전환 단일 포맷 방어의 한계 — 공격자는 6개월 안에 대체 벡터로 이동 Proofpoint (2022.7.28) — "Threat actors pivoted away from macro-enabled documents" ISO · RAR · LNK · HTML Smuggling · OneNote · MSC — 매크로 이후의 벡터들

1995년 7월 최초의 Word 매크로 바이러스 Concept[1], 1999년 3월 26일 Melissa[2], 2000년 5월 10일 만에 1000만 대 이상을 감염시킨 ILOVEYOU[3], 2014년 Emotet의 등장, 2020년 XLM 4.0 대규모 부활, 2022년 2월 7일 Microsoft의 "기본 인터넷 매크로 차단" 공식 발표[4]까지 — 30년 동안 매크로 악성코드는 세 번 죽고 세 번 부활했다. Proofpoint의 2022년 7월 28일 보고서는 Microsoft 차단 이후 VBA·XL4 매크로가 약 66% 감소했고 ISO·RAR·LNK 컨테이너가 약 175% 증가했다고 기록했다[5]. 매크로는 사라진 게 아니라 ISO·LNK·HTML Smuggling·OneNote·MSC로 형태를 바꿨을 뿐이다. 이 글은 30년 진화 연대기를 1차 자료로 정리하고, CDR이 이 모든 세대에 동일 원리로 작동하는 이유를 구조적으로 설명한다.

~66%
매크로 첨부 감소
Proofpoint 2021.10-2022.6[5]
~175%
ISO·LNK 컨테이너 증가
동기간 대체 벡터[5]
10M+
ILOVEYOU 감염 PC
2000.5.4-5.13[3]
34ms
SecuLetter DISARM
구조 기반 무해화 · 공식 수치

1 1992-1994 — XLM 4.0과 VBA의 씨앗

1992년 Microsoft Excel 4.0이 XLM 매크로 언어(XL4)를 도입했다. 셀에 명령어를 입력해 실행할 수 있는 이 기능은 스프레드시트 자동화의 혁명이었지만, 보안 관점에서는 "문서가 곧 실행 파일"이라는 개념을 처음 도입한 기능이다. Perception Point는 XLM을 "30-year-old feature allowing users to enter various commands into cells and execute them"으로 규정한다[6]. 1993년 Office 5.0과 함께 도입된 VBA는 문서 내부에서 파일 시스템·네트워크·프로세스·레지스트리에 접근 가능한 전체 언어를 제공했다. 1994-1995년은 이 위험이 실제 사례로 구현되기 직전의 잠복기였다.

2 1995.7 — Concept, 최초의 Word 매크로 바이러스

1995년 7월 공개된 Concept(WM/Concept)은 Microsoft Word 6.0을 노린 최초의 매크로 바이러스다[1]. F-Secure 기록에 따르면 Microsoft가 "Microsoft Compatibility Test"라고 라벨링한 CD-ROM이 1995년 8월 수백 명에게 배포됐고, 그 안에 감염 문서가 포함돼 있었다[7]. 언어는 WordBasic, "Save As" 시 .dot 템플릿으로 자동 전환되는 감염 경로였다. Microsoft는 초기에 이를 "Prank macro"로 규정하며 바이러스 인정을 거부했다. Concept의 역사적 의미는 기술적 정교함이 아니라 "문서가 바이러스 벡터가 될 수 있다"는 개념을 산업계에 각인시킨 데 있다. 당시 AV 엔진은 실행 파일(.exe·.com·.bat)에만 초점이 맞춰져 있었다. Concept 이후 모든 AV 벤더가 매크로 스캐너를 추가해야 했다.

3 1999.3.26 — Melissa와 최초의 대규모 이메일 확산

1999년 3월 26일 금요일, 미국 뉴저지의 프로그래머 David Lee Smith가 AOL 계정을 탈취한 뒤 alt.sex 뉴스그룹에 "성인 사이트 무료 패스워드"를 미끼로 악성 Word 문서를 게시했다[2]. FBI의 공식 사건 기록에 따르면 Smith는 파일을 "Melissa"라는 이름으로 명명했다(플로리다의 한 댄서 이름에서 유래).

Melissa는 VBA로 작성됐으며 list.doc 오픈 시 매크로가 자동 실행돼 Outlook 주소록의 처음 50개 주소로 자동 전송됐다. Normal.dot 템플릿을 감염시켜 이후 열리는 모든 문서가 감염됐다. FBI 공식 기록[2]:

"By the time Smith was arrested on April 1, 1999, Melissa had disrupted personal computers, overloaded email servers around the world, and caused an estimated $80 million in damages."

Smith는 1999년 12월 유죄를 인정했고 2002년 5월 연방교도소 20개월과 5천 달러 벌금형을 선고받았다. Melissa는 매크로 악성코드가 "사용자 1명 감염 → 주소록 50명 확산"이라는 기하급수 확산 모델을 최초로 입증한 사례다.

4 2000.5.4 — ILOVEYOU와 VBS로의 확장

Melissa 1년 후, 필리핀 마닐라 AMA Computer College의 24세 학생 Onel de Guzman이 만든 ILOVEYOU(일명 Love Bug)가 2000년 5월 4일 판다칸 지역에서 유출됐다[3]. 10일 만에 전 세계 1000만 대 이상의 Windows PC를 감염시켰고 피해 추정액은 30~150억 달러에 달했다.

파일명은 LOVE-LETTER-FOR-YOU.TXT.vbs, Windows 기본 확장자 숨김으로 .TXT처럼 보였고, 언어는 Office 매크로가 아닌 독립 Visual Basic Script(VBS)였다. 이미지 파일 덮어쓰기·MP3 숨김·주소록 전원 전파. ILOVEYOU는 두 전환점을 만들었다. 첫째, Office 문서 밖의 스크립트 엔진(Windows Script Host)도 동일한 위협 표면임을 증명했다. 둘째, 이중 확장자 위장이 시그니처 탐지를 구조적으로 우회한다는 점을 드러냈다. 필리핀은 2000년 7월 전자상거래법(RA 8792)을 제정했지만 de Guzman은 사후법 금지 원칙에 따라 기소되지 않았다.

5 2014.6.27 — Emotet의 등장과 매크로의 부활

2000년대 초반 AV 매크로 스캐너 통합과 2007년 OOXML 포맷의 .docm·.xlsm 매크로 격리를 거치며 매크로 공격은 휴면기에 접어들었다. 공격자들은 Flash·Java·PDF 제로데이로 이동했다. 그러나 이 평온은 2014년 Emotet의 등장과 함께 끝났다.

2014년 6월 27일, Trend Micro의 연구원 Joie Salvio가 Emotet을 최초 보고했다[8]. 초기 Emotet은 독일·오스트리아 소형 은행 고객을 노린 뱅킹 트로이목마였고, 배송 송장·은행 송금 통지서로 위장한 피싱 메일에 악성 Office 문서 매크로를 첨부해 전파했다.

Emotet의 진화 단계

Emotet은 2014년 6월 초기 뱅킹 트로이목마에서 2015년 Mealybug의 모듈형 재설계[8]를 거쳐 2017-2020년 TrickBot·Ryuk·Conti 배포 로더(MaaS)로 전환했다. 2021년 1월 27일 Europol이 8개국 공조로 인프라를 장악[9]했고 2021년 11월 재배포로 부활했다. Europol 보도자료[9]:

"To severely disrupt the EMOTET infrastructure, law enforcement teamed up together to create an effective operational strategy. It resulted in this week's action whereby law enforcement and judicial authorities gained control of the infrastructure and took it down from the inside."

Europol은 Emotet을 "world's most dangerous malware"로 규정했다. 매크로 기반 초기 침투가 7년간 글로벌 사이버 범죄 생태계의 중추 역할을 한 것이다.

⚠️ 매크로 로더 모델의 구조적 위험

Emotet의 진정한 위험은 매크로 자체가 아니라 "로더" 역할에 있었다. 최초 매크로는 단순히 PowerShell 스크립트 하나를 다운로드·실행하고 종료된다. 그 이후의 모든 페이로드(TrickBot·Ryuk 랜섬웨어·Cobalt Strike)는 정상 프로세스 내부에서 전개된다. AV 시그니처는 로더 단계에서 이미 무력화됐고, EDR은 수 시간 후 랜섬웨어가 암호화를 시작할 때야 행위를 감지했다. CDR이 이 체인을 최초 매크로 진입점에서 끊는 유일한 구조적 방어다.

6 2020 — XLM 4.0의 대규모 부활 파도

2020년 매크로 위협은 예상치 못한 방향으로 진화했다. VBA가 아닌 28년 된 XLM 4.0(Excel 4.0 Macro)이 돌연 공격자의 선택지로 복귀한 것이다. Perception Point의 2020년 10월 보고서가 첫 대규모 캠페인을 기록한다 — 2020년 10월 15일 12:40 UTC경 XLSB 문서를 통한 QakBot 말스팸 캠페인이 관찰됐고, VirusTotal의 어떤 AV도 이 문서를 악성으로 탐지하지 못했다[6].

XLM 4.0이 선택된 이유는 ① AMSI 우회(XLM 시트는 VBA가 아니므로 Antimalware Scan Interface 대상에서 제외), ② 28년간 주목받지 않아 AV 룰셋 빈약, ③ Auto_Open 이름 지정 셀로 자동 실행, ④ 수식과 매크로 경계 모호해 정적 분석 난이. Click All The Things 2020년 4월 분석은 TrickBot도 동일 기법을 채택했음을 기록한다[10]. 이후 Zloader·IcedID·Ursnif 등 주요 로더가 XLM 4.0으로 전환했다. Microsoft는 2021년 10월 XLM 기본 비활성화 옵션을 발표하며 대응에 나섰다.

8 2022.2.7 — Microsoft 기본 차단 공지, 패러다임 전환

2022년 2월 7일 Microsoft Tech Community 블로그에 "인터넷에서 가져온 파일의 VBA 매크로를 기본으로 차단한다"는 공지가 게시됐다[4]. 대상은 Access·Excel·PowerPoint·Visio·Word 5개 앱. Version 2203 Current Channel Preview부터 적용. Microsoft 발표 인용[4]:

"Bad actors send macros in Office files to end users who unknowingly enable them, malicious payloads are delivered, and the impact can be severe including malware, compromised identity, data loss, and remote access."

2022년 7월 초 Microsoft는 관리자 피드백을 이유로 일시 롤백했고[11], 7월 27일 재도입 일정을 확정해 정식 채널에 단계 배포했다. 차단의 효과는? Proofpoint 2022년 7월 28일 보고서 "How Threat Actors Are Adapting to a Post-Macro World"[5]:

"Proofpoint observed the use of VBA and XL4 Macros decrease approximately 66% from October 2021 through June 2022... the number of campaigns leveraging container files including ISO and RAR, and Windows Shortcut (LNK) attachments increased nearly 175%."
💡 한 세대의 종말, 다음 세대의 시작

Microsoft의 기본 차단은 매크로 악성코드의 주류 벡터로서의 종말을 선언했다. 그러나 공격자는 6개월 이내에 ISO·RAR·LNK·HTML Smuggling으로 이동했다. 단일 기법에 대한 방어는 언제나 공격자의 적응을 유발한다는 원칙이 다시 입증됐다. CDR은 "실행 가능 콘텐츠 유형을 구조적으로 제거"한다는 단일 원리로 매크로든 ISO든 LNK든 OneNote든 동일하게 작동한다.

9 2022-2023 — ISO·LNK·Bumblebee의 시대

Microsoft 기본 차단 직후 가장 먼저 뜬 벡터는 ISO 디스크 이미지LNK 바로가기다. Sekoia의 2022년 Bumblebee 분석[12]이 전형적 체인을 기록한다 — 피싱 메일 → ZIP 첨부 → 내부 ISO → 마운트 시 LNK → rundll32.exe가 악성 DLL 로드 → Bumblebee가 2차 페이로드 다운로드. ISO가 선택된 이유는 ① MOTW 우회(2022년 당시 Windows가 ISO 내부 파일에 인터넷 출처 태그를 전파하지 않음), ② Protected View 무효(Office 문서 아님), ③ 정상 배포 포맷이라는 AV 관성이다. ASEC 2022 분석 — "Qakbot has had its distribution method changed from Excel 4.0 Macro to ISO files."[13] Microsoft는 2022년 11월 패치로 ISO·IMG에도 MOTW를 전파하는 수정을 배포했다.

10 2022.5 — Follina(CVE-2022-30190)의 매크로리스 충격

2022년 5월 말 CVE-2022-30190(Follina)가 공개되면서 공격 체인은 또 진화했다[14]. Microsoft Support Diagnostic Tool(MSDT) URL 프로토콜 핸들러 취약점으로, 매크로가 전혀 없는 Word 문서ms-msdt:를 호출해 PowerShell을 실행시킨다. CVSS 7.8, 문서 오픈만으로 실행되며 RTF 저장 시 Preview Pane에서도 트리거됐다. Microsoft는 2022년 6월 14일 Patch Tuesday에 수정했다. Qualys 인용 — "The vulnerability can be exploited even if macros are disabled or the malicious document is opened in Protected View."[14] Follina는 "매크로를 차단하면 안전하다"는 가정이 틀렸음을 증명했다. Office 문서 포맷 자체의 파싱·렌더링·프로토콜 핸들러가 모두 잠재적 실행 벡터다.

11 2023.1 — OneNote 공격의 부상

2023년 1월 TA577이 OneNote 문서(.one)를 통한 Qakbot 배포를 시작했다[15]. Proofpoint는 2023년 1월 한 달 동안 50건 이상의 OneNote 캠페인을 관찰했다고 보고했다. 페이로드는 AsyncRAT·Redline·AgentTesla·IcedID·XWorm까지 다양했다. 메커니즘은 ① .one 페이지에 HTA·CHM·VBS·WSF 등 실행 가능 파일 임베드, ② "Double click to view"라고 적힌 가짜 버튼 이미지 위에 파일 배치, ③ 당시 OneNote는 임베드 파일 실행 시 경고만 표시(차단 아님)의 3단계였다[16]. Microsoft는 2023년 4월 OneNote에 위험 확장자 자동 차단 기능을 배포했지만, 이미 3개월간 피해가 누적된 후였다.

11B 2023.8.29 — Operation Duck Hunt, QakBot 테이크다운

2023년 8월 29일 FBI와 법무부는 Operation Duck Hunt로 QakBot 봇넷을 해체했다[17]. 미국·프랑스·독일·네덜란드·루마니아·라트비아·영국 7개국 공조. 감염 PC 약 70만 대(미국 20만 이상), 서버 52대 압수, 암호화폐 860만 달러 압수, 지난 18개월간 40건 이상 랜섬웨어 연계(5800만 달러). QakBot은 2008년 뱅킹 트로이목마로 시작해 매크로·XLM 4.0·ISO·OneNote를 초기 진입으로 활용했다. Emotet(2021)·QakBot(2023) 연속 테이크다운은 매크로 생태계 핵심 액터 두 명이 법집행에 의해 제거됐음을 의미한다. 그러나 TechCrunch 후속 보도는 테이크다운 한 달 후 스팸 재개를 기록한다[17].

12 2024.6 — GrimResource와 MSC 파일의 등장

2024년 6월 6일 Elastic Security Labs가 GrimResource를 공개했다[18]. Microsoft Management Console(MSC) 파일이 apds.dll의 오래된 XSS 취약점을 악용해 mmc.exe 컨텍스트에서 JS를 실행시키고, DotNetToJScript 기법으로 .NET 코드를 로드해 최종 Cobalt Strike를 dllhost.exe에 인젝션하는 기법이다. Elastic 인용 — "MMC processes it and triggers the JS execution in the context of 'mmc.exe.'"[18] MSC 파일은 Office와 무관하므로 매크로 차단 정책과 무관하게 실행된다. Elastic은 Windows 11 최신 버전에서도 해당 XSS가 미패치 상태임을 확인했다.

13 2021-2026 — HTML Smuggling과 APT29

매크로 방어 강화의 또 다른 반작용은 HTML Smuggling이다. Microsoft Security Blog의 2021년 11월 11일 보고서[19]가 기법 명칭을 공식화했다. APT29(Nobelium·Cozy Bear)가 2021년 5월 EnvyScout 공격 체인에서 외교·정부 기관 대상으로 대량 전개한 사건이 방아쇠였다. HTML 첨부 내부에 Base64 인코딩된 ZIP·ISO·EXE를 JavaScript 변수로 저장하고, 브라우저가 HTML을 렌더링하는 순간 클라이언트 사이드에서 파일을 조립해 다운로드시킨다. 네트워크 프록시·이메일 게이트는 "정상 HTML"만 관찰하므로 실행 가능 파일 탐지에 실패한다. APT29의 EnvyScout 체인은 HTML → ISO → LNK → 멀웨어의 5단계였다. 매크로는 없었지만 최종 효과는 동일했다. 이후 Nokoyawa·Pikabot 등 다수 액터가 채택했다.

14 한국 맥락 — Kimsuky·APT37과 매크로의 연속성

한국 대상 공격에서 매크로는 소멸하지 않고 HWP·LNK·MSC와 혼합되는 방향으로 진화했다. ASEC의 2024년 9월 보고서[20]에서 Kimsuky는 "강연의뢰서"로 위장한 HWP와 MSC 복합 첨부를 배포했고, 일부 샘플은 여전히 OLE 객체와 매크로 기반 VBA를 포함했다. 패턴 요약: ① HWP + VBA 복합(연구 논문 위장 → PowerShell 다운로더), ② LNK 전환과 매크로 문서 병행, ③ MSC 결합(강연의뢰서), ④ 2025년 이후 AI 생성 군 신분증 이미지와 매크로 문서 결합. ASEC은 Kimsuky가 여전히 "매크로 활성화를 유도하는 사회공학 이미지를 HWP 문서에 포함한다"고 관찰했다[21]. 특히 CVE-2017-11882(Equation Editor RCE)는 2025년에도 XLoader·Loki 인포스틸러 배포에 계속 악용된다[22]. 8년 된 취약점이 아직 살아있다는 사실은 패치 관리만으로 부족하다는 증거다.

15 세대별 비교 — 30년 매크로 악성코드 매트릭스

세대시기대표 사례전환점
1세대 개념 증명1995-1998Concept · Laroux매크로가 위협임을 증명
2세대 이메일 웜1999-2001Melissa · ILOVEYOU기하급수 전파 모델
3세대 휴면기2002-2013OOXML · AV 성숙
4세대 로더2014-2020Emotet · TrickBot · QakBotMaaS 생태계
5세대 XLM 부활2020-2022QakBot XLSB · ZLoader레거시 엔진 재발견
6세대 포스트매크로2022.7+ISO·LNK·OneNote·MSC·HTML SmugglingMicrosoft 기본 차단[4]
7세대 AI 결합2025-AI 생성 미끼 + 기존 벡터사회공학 자동화

연표가 드러내는 일관성은 단 하나다 — "사용자가 열어보는 파일"이라는 진입 채널은 포맷이 바뀌어도 사라지지 않는다. 1995년 Concept의 사회공학 + 자동 실행 + 정상 포맷 위장 3요소는 2024년 GrimResource에도 동일하게 존재한다.

16 2024-2026 통계 — 매크로는 정말 사라졌는가

Mandiant M-Trends 2024(2023년 데이터)는 피싱이 초기 침투 벡터 2위로 17%였다고 기록한다[23]. M-Trends 2025(2024년 데이터)에서 이메일 피싱은 14%로 하락했고 취약점 악용이 33%로 1위에 올랐다. 그러나 클라우드 환경에서는 피싱이 여전히 39%로 최대 벡터다. IBM X-Force 2024 보고서는 "악성 ZIP·RAR 첨부가 각각 70%·45% 감소"했고 Excel·Word도 유사 감소를 보였으며, PDF가 최상위 악성 첨부 유형으로 부상했다고 기록한다[24]. PDF의 42%가 난독화 URL, 28%가 PDF 스트림 내 URL 은닉, 7%가 비밀번호 암호화 상태였다.

✅ CDR이 통계 변화에 구애받지 않는 이유

매크로 감소·PDF 증가·HTML Smuggling 확산은 모두 공격자의 파일 유형 선택 차원의 변화다. CDR은 파일 유형이 아니라 "파일 내부의 실행 가능 요소"를 제거한다. VBA 매크로든 XLM 시트든 PDF JavaScript든 OneNote 임베드 파일이든 동일 원리로 처리된다. 공격자가 내일 새로운 포맷을 발견해도 실행 가능 요소가 없으면 공격이 성립하지 않는다.

17 CDR의 구조적 방어 원리 — 왜 30년을 관통하는가

취약점 기반 방어의 세대별 한계

매크로 시그니처 AV(1-2세대)는 변종 대량 출현으로 무력화됐고, Protected View·경고 배너(3-4세대)는 "Enable Content" 클릭 유도로 뚫렸다. AMSI·XLM 기본 차단(5세대)은 VBA 한정이라 XLM·HTA·WSF가 우회했고, MOTW·기본 차단(6세대)은 ISO·OneNote·HTML Smuggling이 우회했다. EDR 행위 탐지(7세대)는 이미 코드 실행 단계 이후에 작동하며 DLL 사이드로딩에 우회된다. 全세대를 관통하는 유일한 구조적 방어는 CDR의 "파일 재조립 시점 차단"이다. 단 콘텐츠 수정으로 원본 일부 손실이 가능하므로 가독성 보존이 필수다.

CDR이 제거하는 요소 — 30년간 일관된 리스트

✅ 실행 가능 콘텐츠 유형별 구조 제거
  1. VBA 매크로 모듈 → Concept·Melissa·Emotet 계열 무력화
  2. XLM 4.0 매크로 시트 → 2020-2022 QakBot·TrickBot 벡터 차단
  3. OLE 객체·임베드 파일 → OneNote·Office 임베드 공격 차단
  4. 하이퍼링크·외부 참조 → Follina 프로토콜 핸들러 트리거 제거
  5. LNK 바로가기 → Bumblebee·Qakbot ISO 체인 차단
  6. DDE·필드 코드 → DDE 자동 실행 공격 차단
  7. PostScript·EPS·JavaScript → PDF 실행 요소 제거
  8. 매크로시트 이름 정의 → Auto_Open 등 자동 실행 트리거 제거

시큐레터 MARS + SLCDR 조합의 실전 적용

시큐레터는 리버스엔지니어링 기반 MARS 엔진과 SLCDR을 결합해 매크로 진화 전 세대에 대응하는 구조를 제공한다. 309개 파일 포맷을 지원하며 평균 12.027초 TTA(Time To Analysis), DISARM 34ms의 성능으로 기업 메일 게이트에서 실시간 무해화를 수행한다(SecuLetter 공식 수치). KISA 100% 탐지 인증과 Gartner Mail Security Market Guide 2024 등재 40개 글로벌 벤더 중 국내 유일 Representative Vendor로 선정됐다.

18 실무 체크리스트

매크로 악성코드 30년 대응 준비도
  1. Office 매크로 기본 차단 정책 강제Microsoft 2022.7 기본값 + GPO 추가 강제
    기본 대응
  2. XLM 4.0 비활성화레지스트리 XLOpenXLM=2 확인
    레거시 엔진
  3. 이메일 게이트 CDR 배치매크로·OLE·LNK·HTML·OneNote 첨부 무해화
    1차 방어
  4. ISO·IMG MOTW 전파 패치Windows 2022.11 누적 업데이트
    컨테이너
  5. CVE-2017-11882 Equation Editor 패치레거시 Office 전수 조사
    상시 위협
  6. MSC 파일 수신 차단GrimResource 대응 유형 필터
    2024 신흥
  7. PDF JavaScript·FormAction 제거IBM X-Force 최상위 첨부 유형
    현재 주류
  8. HTML Smuggling 탐지Base64 인라인 대용량 문자열
    APT29 벡터
  9. 사용자 피싱 훈련Enable Content·이중 확장자·ISO·OneNote
    사용자
  10. 공공·금융 HWP 혼용 대응Kimsuky·APT37 HWP+VBA 복합
    한국 맥락

19 자주 묻는 질문 (FAQ)

Q1. Microsoft가 2022년 매크로를 기본 차단한 이후 매크로 공격은 정말 사라졌나요?
주류 벡터로서는 크게 축소됐다. Proofpoint 2022.7.28 보고서는 약 66% 감소를 기록했다[5]. 그러나 ① 한국 공공기관의 HWP+VBA 혼합 캠페인, ② CVE-2017-11882 Equation Editor 악용, ③ 구버전 Office 사용자 대상 공격은 여전히 활발하다. 매크로는 주력 무기에서 보조 무기로 이동한 것이지 소멸한 것이 아니다.
Q2. ISO·LNK·OneNote·MSC는 전부 다른 기법인데 CDR 하나로 대응되나요?
원리적으로는 그렇다. CDR은 파일 포맷별 파서를 갖추고 각 포맷 내부의 실행 가능 요소 목록을 제거한다. ISO는 내부 실행 파일·LNK 제거, OneNote는 임베드 파일 제거, MSC는 StringTable·JS 리소스 제거가 핵심이다. SecuLetter의 309개 포맷 지원은 이 원리를 다양한 컨테이너에 적용한 결과다.
Q3. Follina처럼 매크로 없이 Office 문서 오픈만으로 실행되는 공격도 CDR이 막나요?
막는다. Follina의 트리거는 ms-msdt: 프로토콜을 호출하는 외부 참조·하이퍼링크·XML 템플릿 참조다. CDR은 문서 재조립 시 외부 참조를 정규화·제거한다. CVE 패치 배포 전이라도 원천 차단되는 이유다.
Q4. XLM 4.0이 28년 만에 부활했듯이 또 다른 레거시 엔진이 부활할 가능성이 있나요?
가능성은 충분하다. Windows Script Host·HTA·CHM·WSF 등은 여전히 활성 상태다. 2023년 OneNote, 2024년 MSC가 레거시 엔진 재발견의 사례다. CDR은 "실행 가능 유형"이라는 추상 개념으로 방어하므로 구체적 엔진 이름과 무관하게 작동한다.
Q5. Mandiant M-Trends 2025는 취약점 악용이 1위라고 했는데 그래도 이메일 CDR이 필요한가요?
필수다. 취약점 악용 33%는 네트워크 장비·웹 서비스 취약점이 중심이다. 엔드포인트로 들어오는 콘텐츠 기반 침투는 여전히 이메일·웹 다운로드가 주 채널이다. 또한 클라우드 환경에서는 피싱이 여전히 39%로 최상위 벡터다[23].
Q6. CVE-2017-11882처럼 8년 된 취약점이 왜 아직 활발한가요?
패치 미적용 구버전 Office가 글로벌 기업 환경에 광범위하게 남아있기 때문이다. Kaspersky 2025년 분석은 이 취약점이 여전히 XLoader·Loki 배포에 사용됨을 확인했다[22]. CDR은 문서 재조립 과정에서 Equation Editor 객체를 정규화·제거하므로 미패치 환경에서도 이 취약점 트리거가 무력화된다.
Q7. AI 생성 매크로 변종에 시그니처 방어는 어떻게 되나요?
시그니처는 더 무력해진다. LLM으로 코드 난독화·변수 재명명·구조 재배열을 자동화하면 하루 수천 개 변종 생성이 가능하다. CDR은 "실행 가능 유형 제거" 원리 기반이므로 변종 수와 무관하게 작동한다.
Q8. 구버전 Office 환경은 어떻게 방어해야 하나요?
① 교체 로드맵, ② 이메일·파일 수신 단계 CDR 게이트 필수화, ③ 피싱 훈련 강화의 3중 방어. 패치 불가 환경에서 CDR은 유일한 구조적 방어가 된다.

결론 — 30년이 증명한 단 하나의 원칙

1995년 Concept 이후 30년. 매크로는 세 번 죽고 세 번 부활했다. 1999년 Melissa가 이메일 웜 모델을 열었고, 2000년 ILOVEYOU가 1주에 1000만 대를 감염시켰다. 2014년 Emotet은 매크로를 로더로 재정의했고 2021년 Europol 테이크다운으로 꺾였다가 부활했다. 2020년 QakBot은 28년 된 XLM 4.0을 발굴해 AMSI를 우회했고, 2022년 Microsoft 기본 차단으로 주류에서 밀려나자 6개월 안에 ISO·LNK·HTML Smuggling·OneNote·MSC로 이동했다.

Proofpoint의 66% 감소 + 175% 대체 벡터 증가[5]는 매크로 방어의 승리가 아니라 "단일 벡터 방어의 구조적 한계"를 보여준다. Mandiant M-Trends·IBM X-Force 2024-2025 통계도 같은 결론을 가리킨다 — 파일 유형은 바뀌지만 "사용자가 여는 파일에 실행 가능 콘텐츠를 숨겨 전달한다"는 원리는 바뀌지 않는다. 방어도 원리 기반이어야 한다. CDR의 "실행 가능 콘텐츠 유형 제거"라는 단일 원리는 1995년 Concept부터 2024년 GrimResource까지, 그리고 아직 등장하지 않은 2030년의 미래 기법까지 동일하게 작동한다. 방어는 특정 기법이 아니라 원리에 걸어야 한다.

매크로 30년 진화 대응 준비도 진단

VBA·XLM·ISO·LNK·OneNote·MSC·HTML Smuggling·PDF JavaScript 전 세대 벡터 시뮬레이션 · CDR 무해화 품질 테스트 · CVE-2017-11882 등 레거시 취약점 환경 점검 · KISA 100% 탐지 기반 공공 맞춤 컨설팅까지 지원.

매크로 대응 진단 신청 → 공공 · 금융 · 제조 · 학계 · 국내 HWP 혼용 환경 맞춤
REFERENCES
  1. F-Secure, Virus:W32/Concept, F-Secure Virus Description — f-secure.com. Wikipedia: Concept Virus.
  2. FBI, The Melissa Virus — 20th Anniversary, 2019.3.25 — fbi.gov. US DOJ: Melissa Sentence 2002.
  3. Wikipedia, ILOVEYOUen.wikipedia.org. History.com: ILOVEYOU Worm.
  4. Microsoft Tech Community, Helping users stay safe — Blocking internet macros by default in Office, 2022.2.7. The Hacker News 요약: thehackernews.com.
  5. Proofpoint, How Threat Actors Are Adapting to a Post-Macro World, 2022.7.28 — proofpoint.com.
  6. Perception Point, Qakbot Malware — Insights Into an Excel 4.0 Macro Attack, 2020 — perception-point.io.
  7. SmarterMSP, Tech Time Warp — Introducing the Concept of a macro virussmartermsp.com.
  8. Symantec (Broadcom), The Evolution of Emotet — From Banking Trojan to Threat Distributorsymantec-enterprise-blogs.security.com. Wikipedia: Emotet.
  9. Europol, World's most dangerous malware EMOTET disrupted through global action, 2021.1.27 — europol.europa.eu.
  10. Click All The Things, Trickbot/Excel 4.0 macros — There's got to be a better way, 2020.4 — clickallthethings.wordpress.com.
  11. The Register, Microsoft rolls back default macro blocks in Office, 2022.7.8 — theregister.com.
  12. Sekoia, BumbleBee — a new trendy loader for Initial Access Brokers, 2022 — blog.sekoia.io.
  13. ASEC, Qakbot Being Distributed as ISO Files Instead of Excel Macro, 2022 — asec.ahnlab.com.
  14. Qualys, CVE-2022-30190 Follina Zero-Day Vulnerability, 2022.6 — blog.qualys.com. CISA: cisa.gov. NVD: nvd.nist.gov.
  15. Proofpoint, OneNote Documents Increasingly Used to Deliver Malware, 2023 — proofpoint.com.
  16. Trellix, Qakbot Evolves to OneNote Malware Distribution, 2023 — trellix.com.
  17. FBI, FBI, Partners Dismantle Qakbot Infrastructure in Multinational Cyber Takedown — Operation Duck Hunt, 2023.8.29 — fbi.gov. TechCrunch: techcrunch.com.
  18. Elastic Security Labs, GrimResource — Microsoft Management Console for initial access and evasion, 2024.6 — elastic.co/security-labs/grimresource. The Hacker News: thehackernews.com.
  19. Microsoft Security Blog, HTML smuggling surges — Highly evasive loader technique increasingly used in banking malware, targeted attacks, 2021.11.11 — microsoft.com.
  20. ASEC, Kimsuky Group's Malware Disguised as Lecture Request Form (MSC, HWP), 2024.9 — asec.ahnlab.com.
  21. ASEC, Malware Disguised as HWP Document File (Kimsuky)asec.ahnlab.com.
  22. Kaspersky, CVE-2017-11882 is still being exploited, 2025 — kaspersky.com. ASEC: XLoader via CVE-2017-11882. NVD: nvd.nist.gov.
  23. Mandiant / Google Cloud, M-Trends 2024 · 2025 — Our View from the Frontlinescloud.google.com/M-Trends 2024. PDF 2025: m-trends-2025-en.pdf.
  24. IBM, X-Force Threat Intelligence Index 2024 · 2025ibm.com/think/x-force 2024. 2025: 2025 Threat Intelligence Index.
  25. MITRE ATT&CK, T1137 Office Application Startup · T1204 User Execution · T1566 PhishingT1137, T1204, T1566.
  26. Microsoft Learn, Macros from the internet are blocked by default in Officelearn.microsoft.com.
  27. SentinelOne, What is a Macro Virus? — Risks, Prevention, and Detectionsentinelone.com.
  28. CISA · CrowdStrike · Zscaler · BleepingComputer 추가 자료 — CISA Follina, CrowdStrike QakBot OneNote, Zscaler OneNote, BleepingComputer GrimResource.
관련 글
기법 분석
OLE·DDE 공격 분석
대응
Kimsuky HWP+LNK 복합 공격 대응
샘플
콘텐츠 보안 개요

위협 연표 실무 검토가 필요하신가요?

시큐레터 보안연구팀이 현재 환경을 함께 검토합니다. 기밀 유지 보장, 비용 없음.

PoC 신청
관련 포스트
L3 · 실무 공공 · N2SF 대응 · L3

N2SF CDR 매핑 가이드 / 260개 통제항목 체크리스트

국정원 N2SF 1.0의 260개 통제항목 중 CDR이 직접 담당하는 영역을 매핑했다. 민감등급 문서 반입 통제, 망간 파일 전송, 3등급 분류까지 공공기관 정보보호 담당자가 실제로 쓸 체크리스트.

2026-04-21 18분 읽기 →
L2 · 기술 기술 비교 · L2

CDR vs 샌드박스 vs AV / 2026 3자 비교 매트릭스

파일 보안 기법 3가지를 한 표에 올렸다. 탐지율·회피 내성·처리 속도·운영 비용·제로데이 대응까지 12개 기준으로 비교. 어떤 조직에 어떤 조합이 맞는지, 실제 구매 현장에서 쓰는 기준으로 정리한다.

2026-04-21 14분 읽기 →
L1 · 입문 CDR 카테고리 교육 · L1

탐지를 전제로 한 보안의 한계, / CDR은 판정하지 않는다

CDR(Content Disarm and Reconstruction)은 "악성인지 판단하는" 보안이 아니다. 탐지 패러다임의 구조적 한계, CDR의 3단계 원리, 리버스엔지니어링 분석과의 조합, 공공·금융·엔터프라이즈 적용 현황을 공식 자료와 공개 출처에 근거해 정리한다.

2026-04-15 22분 읽기 →