PDF 파일은 문서 형식으로 널리 사용되지만, 그 안에는 자바스크립트, 링크, 매크로 코드 등이 포함될 수 있어 해커들의 공격 도구로 자주 활용된다. 특히 이메일 첨부파일이나 무료 다운로드 링크를 통해 전달된 PDF 파일은 악성코드를 숨기고 있는 경우가 많으며, 열기만 해도 시스템이 감염될 수 있다.
이러한 위협으로부터 자신을 지키기 위해서는 전문 백신 프로그램 없이도 PDF 파일 내부 구조와 행동을 분석할 수 있는 무료 도구를 활용하는 것이 매우 유용하다. 이 글에서는 실제 보안 전문가들도 사용하는 무료 악성 PDF 분석 도구 TOP 5를 소개하고, 초보자도 쉽게 사용할 수 있는 실전 사용 방법까지 함께 제공한다.
✅ 1. VirusTotal – 빠른 악성 여부 판단의 시작점
🔎 주요 기능
- 전 세계 70개 이상의 백신 엔진으로 PDF를 검사
- 실행 없이도 악성 여부, 포함된 URL, 행위 분석 결과 제공
- PDF 내부 링크 분석 및 히스토리 확인 가능
✅ 사용 방법
- https://www.virustotal.com에 접속
- ‘파일’ 탭에서 PDF 업로드
- 검사 결과를 보고 ‘Detected’ 수치 확인
- ‘Behavior’, ‘Relations’, ‘Details’ 탭에서 내부 구조 정보 확인 가능
✅ 활용 팁:
파일을 열기 전에 미리 VirusTotal에 업로드해 검사하면 감염 위험을 사전에 차단할 수 있다.
✅ 2. PDF Examiner (pdfexaminer.com) – PDF 내부 코드 확인 도구
🔎 주요 기능
- PDF 내부의 구조, 오브젝트, 스크립트 분석
- JavaScript 포함 여부, 자동 실행 여부를 탐지
- 위험 요소를 시각적으로 표시해 초보자도 쉽게 확인 가능
✅ 사용 방법
- https://www.pdfexaminer.com 접속
- 악성 의심 PDF 파일 업로드
- 분석 결과 화면에서 "Suspicious Elements" 확인
- 포함된 스크립트, URL, Form 필드 등 상세 구조 분석
✅ 활용 팁:
악성 PDF에서 자주 쓰이는 /OpenAction, /JavaScript, /Launch 같은 명령이 포함되어 있으면 매우 위험하므로 즉시 삭제할 것
✅ 3. PDFid (by Didier Stevens) – 전문가용 구조 분석 CLI 도구
🔎 주요 기능
- PDF 내부에 악성 명령이 포함됐는지 CLI로 빠르게 분석
- JavaScript, OpenAction, Launch 명령 탐지
- 매우 가볍고 정확하며 오프라인에서도 사용 가능
✅ 사용 방법
- https://blog.didierstevens.com/programs/pdf-tools/ 에서 PDFid 다운로드
- 명령어 창(CMD 또는 터미널)에서 다음 명령 실행
pdfid.py suspicious.pdf
- /JavaScript, /OpenAction, /Launch 등의 항목 개수 확인
✅ 활용 팁:
이 도구는 PDF를 직접 열지 않고 내부 코드를 확인할 수 있어, 가장 안전한 분석 방법 중 하나다.
✅ 4. PDF Stream Dumper – PDF 내부 스트림 데이터 분석
🔎 주요 기능
- PDF 내부 스트림(raw data) 추출 및 디코딩
- Obfuscation(난독화)된 코드 디코딩
- JavaScript 분석 기능 내장
✅ 사용 방법
- https://malware.re/ 등 보안 커뮤니티에서 다운로드
- 프로그램 설치 후 PDF 열기
- Stream 탭에서 스크립트 추출
- Suspicious Stream 하이라이트 확인
✅ 활용 팁:
PDF에 포함된 스크립트가 난독화(암호화)되어 있는 경우에도 디코딩해 확인할 수 있음. 다만 중급자용 도구에 가까움.
✅ 5. Hybrid Analysis – 고급 분석 리포트 제공
🔎 주요 기능
- 샌드박스 환경에서 PDF를 실행해 동작 분석
- 시스템 호출, 파일 생성, 네트워크 연결 등 행위 분석
- 기업용 수준의 디지털 포렌식 리포트 제공
✅ 사용 방법
- https://www.hybrid-analysis.com 접속
- PDF 파일 업로드 후 분석 시작
- 분석 결과 중 "Behavior", "Threat Score" 확인
- 감염 예상 경로, 실행 명령어 등 상세 리포트 확인 가능
✅ 활용 팁:
사용자가 PDF를 직접 실행하지 않아도, 도구가 가상 환경에서 실행하고 결과를 분석해주기 때문에 안전함.
✅ 결론
PDF는 텍스트 문서처럼 보이지만, 실제로는 강력한 실행 기능을 가진 복합 포맷이다. 해커는 이 구조를 악용해 자바스크립트, 악성 링크, 자동 실행 코드 등을 삽입해 사용자를 속인다. 하지만 위에서 소개한 무료 도구들만 잘 활용해도, 사용자는 어떤 PDF 파일이 안전하고, 어떤 파일이 의심스러운지 충분히 스스로 판단할 수 있다.
📌 보안은 기술이 아니라 습관이다. PDF 파일도 예외는 아니다.
💡 사용자 레벨별 추천 도구
사용 수준 | 추천 도구 | 특징 |
🔰 입문자 | VirusTotal, PDF Examiner | 웹 기반, 설치 필요 없음, 직관적 |
🧰 중급자 | PDFid, Hybrid Analysis | 구조 기반 분석, 동작 감지 가능 |
👨💻 고급자 | PDF Stream Dumper | 난독화 코드, JavaScript 분석 가능 |