영상 픽셀 속 악성코드, '픽셀코드(PixelCode)' 공격기법

 

 

최근 멀티미디어 파일의 픽셀(Pixel) 데이터를 악성 페이로드 저장소로 활용하는 이른바 ‘픽셀코드(PixelCode)’ 공격 기법이 등장하여 주의가 필요합니다. 이는 스테가노그래피(Steganography) 기술을 고도화하여 보안 솔루션의 탐지망을 정교하게 우회하는 방식입니다.

픽셀코드(PixelCode) 정의

바이너리 데이터를 사람이 인식하는 색상 정보(픽셀)로 변환하여 이미지나 영상 속에 삽입하는 기술입니다. 외형상 일반 미디어 파일과 구분이 어려운 것이 특징입니다.

---

픽셀코드 공격 시나리오 및 매커니즘

공격자는 신뢰 기반의 플랫폼과 파일리스(Fileless) 실행 기법을 결합하여 다음과 같은 다단계 프로세스를 수행합니다.

픽셀코드 공격 흐름도 (이미지 출처: Malicious PixelCode 프로젝트)

단계	상세 내용
1. Payload Preparation	C++ 기반 악성 EXE를 픽셀 단위 데이터로 인코딩하여 정상적인 MP4 영상 파일로 생성합니다.
2. Staging & Hosting	유튜브(YouTube) 등 합법적인 플랫폼에 영상을 업로드하여 네트워크 보안 장비의 탐지를 우회하고, 영상에서 데이터를 추출할 '스테이저'를 포함한 최종 배포용 '로더(Loader)'를 제작합니다.
3. Infection & Execution	감염된 PC에서 로더가 영상을 다운로드 후, 메모리 상에서 픽셀을 바이너리로 복원하여 실행합니다. (C2 서버 연결)

---

주요 위협 요인 및 분석 회피 기술

• 비실행 포맷(Non-executable) 활용: 백신이 MP4 파일을 스캔할 때 픽셀 값에 분산된 데이터는 명확한 코드 구조나 시그니처가 존재하지 않아 정적 분석 단계에서 식별이 어렵습니다.
• 정상 트래픽 위장: 대형 스트리밍 도메인과의 통신은 기업 보안 환경에서 기본 허용되어 있어 트래픽 분석을 우회합니다.
• 파일리스(Fileless) 및 프로세스 인젝션: 디스크 쓰기 없이 메모리 상에서 직접 동작하여 흔적을 최소화하며, 정상 프로세스에 인젝션되어 동작될 경우 보안 솔루션이 정상 행위로 오인할 수 있습니다.

---

대응 전략 및 보안 권고 사항

개인 사용자 가이드

• 출처 불분명한 영상 다운로드, 코덱 설치 요구 주의
• 공식 플랫폼 외의 영상 다운로드 도구 사용 지양
• OS 및 엔드포인트 보안 엔진 최신 버전 유지

기업 보안 관리자 가이드

• CDR(Content Disarm & Reconstruction) 기술 검토
• 특정 프로세스의 비정상적인 외부 통신(EDR/XDR) 모니터링
• 제로 트러스트 기반의 콘텐츠 검증 체계 강화

 

이번 픽셀코드 공격 사례에서 알수 있듯, 공격자는 더 이상 시스템 취약점만을 노리지 않고 ‘이미지나 영상 파일은 비교적 안전하다’는 사용자의 인식을 악용하고 있습니다.

이러한 스테가노그래피 기반 위협에 대응하기 위해서는 출처가 불분명한 파일을 의심하고, 모든 디지털 콘텐츠를 검증 대상으로 바라보는 기본적인 보안 습관이 무엇보다 중요합니다.

 

 

 

 

 

[참고]

https://github.com/S3N4T0R-0X0/Malicious-PixelCode/blob/main/README.md