이 잉카인터넷지난 8일 발견된 HWP 악성파일은 얼마 전 있었던 한·중 평화통일 포럼의 '한국전쟁 정전 60주년 평화를 묻다'의 발표 내용 요약문처럼 위장한 형태로 발견됐다. |
잉카인터넷은 한글과컴퓨터의 HWP 문서파일 취약점을 이용하는 악성파일을 지속적으로 발견하고 있다고 9일 밝혔다. 지난 8일 발견된 HWP 악성파일은 얼마 전 있었던 한·중 평화통일 포럼의 '한국전쟁 정전 60주년 평화를 묻다'의 발표 내용 요약문처럼 위장한 형태로 발견됐다.
이 HWP 악성파일이 실행되면 한컴오피스 프로그램의 취약점에 의해서 정상적인 문서화면이 보이면서, 임시 폴더(Temp)에 exor.dll 이라는 악성 DLL 파일이 생성된다. 시스템 폴더 경로에는 'mfc100esu.dll' 파일이 생성된다. 마치 시스템파일처럼 자신을 숨겨두고 있기 때문에 일반 사용자가 육안상으로 악성여부를 판단하기는 거의 불가능에 가깝다.
문서파일의 취약점을 이용한 공격은 특정기업이나 기관을 겨냥한 1차 침투 및 정찰용 악성 이메일을 은밀하게 발송하는 스피어피싱(Spear Phishing)기법으로 활용되기 때문에 주의해야한다는 설명이다. 한글파일 악성코드에 감염될 경우 사용자 PC가 좀비 PC로 변해 기업정보, 금융계좌 등 주요 자산을 탈취당할 수 있어 각별한 주의가 필요하다.
잉카인터넷 측은 "평소 업무에도 자주 이용하는 친숙한 문서파일은 이용자로 하여금 악성파일로 의심받을 확률이 낮고, 감염여부를 쉽게 판단하기 어렵다는 점에서 특정인이나 조직을 겨냥한 표적공격에 꾸준히 악용되고 있는 실정"이라며 "최근까지 HWP 문서파일의 취약점을 이용한 공격은 꾸준히 발생하고 있고, 일반에 공개되는 것은 빙산의 일각일 수 있다는 점을 항시 명심하여야 한다"고 말했다.
이 회사의 설명을 따르면 특히 흥미로운 소재의 한글제목이나 관련 문구로 현혹해 감염을 유도하고, 최대한 공격대상과의 연관성이 높은 맞춤형 문서파일이 사용된다. 따라서 이용자들은 알려진 보안취약점에 쉽게 노출되지 않도록 항시 최신 버전의 한컴오피스 프로그램으로 업데이트를 유지하는 보안습관이 절대적으로 중요하다.
관련 전문가들은 "한글파일을 이용한 공격기법은 과거부터 많이 사용되던 매우 고전적인 수법이지만, 외부에 쉽게 노출되지 않고, 이용자들의 보안의식에 따라 공격대비 성공률이 나름대로 높아 주로 이용되는 방식 중 하나"라며 "주기적인 한글 업데이트만이 제로데이 한글 악성코드에 감염되지 않는 방법"이라고 강조했다.