나스카(NASCA) DRM 우회해서 문서 파일 추출하기

 

※ 본 게시물은 불법 행위를 방조하거나 장려할 목적으로 게시되지 않았으며 순수하게 보안, 기술적 관점에서 정보를 공유하고자 작성되었습니다. 따라서 본 게시물로 인해 발생한 모든 법적 책임은 본 게시물과는 무관합니다.

---

 

 

 

 

 

국내 모 대기업 그룹(이하 A 그룹 계열사) 내에서는 나스카(NASCA)라고 하는 DRM 프로그램을 사용합니다. 문서 저장 시 자동으로 암호화가 되어 파일이 외부로 유출이 되더라도 암호화가 되어 읽을 수가 없는 방식입니다. DRM 프로그램이 백그라운드에서 돌아가며 문서가 저장되는 경우 곧바로 암호화가 되는 방식이라 시스템 메모리 리소스를 상당히 많이 소모하지만 보안 측면에서 굉장히 훌륭한 프로그램입니다. 공식사이트를 참고해보니 나스카가 지원하는 문서 파일은 매우 광범위 하다는 것을 알 수 있습니다.

 

 

나스카가 암호화 지원하는 파일 종류

MS Office (MS WORD 2003/2007/2010/2013, MS EXCEL2003/2007/2010/2013, MS POWERPOINT 2003/2007/2010/2013) 아래아 한글 2004/2005/2007/2010/2014 Acrobat PDF Reader 8/9/10/11, Acrobat Standard/Professional Acro Edit/UltraEdit/Edit Plus Adobe Photoshop, Adobe Illustrator Corel(Jasc) PaintShop Pro 윈도우 그림판/윈도우 Picture and Fax Viewer/윈도우 Photo Gallery

 

하지만 나스카에도 분명히 구멍이 있습니다. 아래의 방법으로 나스카를 우회하여 파일을 외부로 유출이 가능하지만 이 경우에도 외부에 인터넷이 연결되어 있다는 가정 하에서만 가능합니다. 왜냐하면 모든 A 그룹 계열사들이 전부 그런지는 모르겠지만 일반적으로 블루투스와 USB 포트를 사용 못하도록 자체 솔루션이 갖추어져 있고 모든 PC에는 봉인 스티커가 붙어있어 디스크를 외부로 빼돌린다던가 하는게 사실상 불가능 합니다. 인터넷도 예외적인 상황을 제외하고는 사용이 불가능한 경우가 많은 것으로 알고 있습니다.

 

 

워드 파일(docx)의 나스카 우회 방법

 

1. 워드 파일을 웹 보관 파일인 .mht, .mhtml 형식으로 다른 이름 저장
2. 해당 .mht, .mhtml 파일의 확장자를 txt로 변환
3. 텍스트파일은 암호화대상이 아니므로 해당 파일을 메일에 첨부해서 보내거나 특정 인터넷 웹사이트에 업로드하면 다른 PC에서 문제없이 해당 파일 열 수 있음.
4. 혹은 암호화 되어있지 않은 이미지 파일에 해당 텍스트파일을 특정 명령어로 이미지 파일에 통합해서 하나의 파일로 만든 후 메일로 첨부하거나 블로그나 카페의 게시판 같은 곳에 본문 내에 이미지 파일을 삽입하는 방식으로 외부로 보낼 수 있음

 

 

 

두개의 파일을 하나로 합치는 명령어 두가지

 

copy /b a.jpg+b.txt result.jpg

첫번째 a.jpg 이미지 파일은 바이너리 파일이기 때문에 /b 옵션을 붙여줘야 합니다. 최종 결과물로 추출된 result.jpg 파일은 이미지 뷰어로 열어보면 원본과 같은 이미지 파일이 뜨지만 메모장으로 열어보면 이미지 데이터 뒷 부분에 문서 데이터가 그대로 텍스트 형태로 붙어 있는 것을 확인할 수 있습니다. 그 부분만 따로 떼내어 원래 파일인 .mht, .mhtml 로 확장자를 바꿔서 워드로 열면 됩니다. 테스트 결과 일부 문자들이 깨져서 나오기는 하나 거의 대부분의 데이터는 온전한 상태로 유지되는 것을 확인할 수 있었습니다.

 

 

type b.txt >> a.jpg

 

copy 명령어로 하는 것과 동일한 결과가 나옵니다. a.jpg 파일이 최종 결과물입니다.

 

워드 파일은 예시일 뿐이고 pptx나 xlsx 파일도 가능합니다. 그 외 바이너리 형식으로 된 이미지나 PDF 파일은 시도를 해보지 않아 잘 모르겠네요. 혹시 시도해보신 분이 있다면 댓글로 알려주세요.