MS 오피스 매크로처럼 한글 OLE 악용하는 해커들, 최근 공격 정황 포착

입력 : 2022-08-21 22:55

MS 등 시큐어코딩 적용해 취약점 줄자 매크로와 OLE 같이 문서 정상 기능 악용해 공격
외부파일 삽입 가능한 OLE 기능 이용해 악성 스크립트나 프로그램 넣어 사용자 실행 유도
한글문서, 2022 버전이나 최신 업데이트가 적용된 한글 2018, 2020 버전으로 사용해야

[보안뉴스 기획취재팀] 최근 한글문서의 객체연결삽입기능(OLE)를 이용한 공격이 포착돼 이용자들의 각별한 주의가 요구된다.

영남이공대학교 사이버보안연구센터(센터장 이종락)가 발표한 ‘한글문서의 객체연결삽입기능(OLE)를 이용한 공격기술’ 연구결과에 따르면 해커들은 2010년 중반까지 문서를 이용한 공격을 할 때, 주로 취약점을 이용했다. 문서 취약점을 이용하면 사용자가 문서를 열람하는 행위만으로도 악성코드가 자동으로 실행될 수 있기 때문이다. 그러나 최근에는 MS 등 제조사들의 시큐어코딩 적용으로 취약점 발견 빈도가 감소하고 있으며, 이로 인해 공격자들은 취약점보다는 매크로, OLE와 같이 문서의 정상 기능을 이용한 공격기술을 주로 사용하고 있다.


MS 오피스 문서에서 악성코드를 유포할 때 주로 매크로가 사용되는 것처럼, 한글 문서에서는 OLE 기능이 사용된다. OLE 기능은 한글문서 내에 외부의 파일을 직접 문서 내에 삽입하는 기능이다. 해커들은 해당 기능을 이용해 악성 스크립트나 프로그램을 삽입, 사용자의 실행을 유도할 수 있다.

한글 문서의 ‘입력’ 탭 > ‘OLE 개체’ >‘파일로부터 만들기’메뉴에서 exe 또는 bat 유형의 악성파일을 삽입할 수 있다. 그림파일 등을 입력한 후, 하이퍼링크 기능을 이용해 악성코드를 연결하는 것도 가능하다.


사용자가 이렇게 작성된 문서에서 OLE 객체나 그림/도형 등을 클릭하면, 악성코드가 실행된다. 실제 공격사례를 보면 투명한 프레임 화면 전체에 넣어서 문서 내 어디를 클릭하더라도 악성코드가 실행되도록 하는 기술도 사용된다.


영남이공대학교 사이버보안연구센터 측은 “동일한 OLE 악성코드를 실행하더라도, 한글 프로그램의 버전에 따라 실행 결과가 다르다”며 “한글 2018 이하의 낮은 버전에서는 하이퍼링크 기능을 이용해 이미지를 클릭하는 것만으로도 악성코드가 실행될 수 있다. 반면, 한글 2018 이상의 버전부터는 하이퍼링크를 클릭할 경우, 실행 경고가 발생한다”고 설명했다.


또한, 한글 2020 이하의 버전에서 bat 파일을 실행할 경우, 경고창이 발생하지만 사용자가 실행에 동의할 경우 악성코드가 실행된다.


한글 2022와 함께 최신 업데이트를 수행한 한글 2018, 한글 2020에서는 모든 유형의 코드 실행이 차단된다. 코드를 실행하려면 사용자가 상단의 ‘보안’>‘문서 보안 설정’에서 문서 보안수준을 변경해야 한다.


한글 뷰어버전에서는 OLE 객체 유형은 동작하지 않았으나, 이미지 하이퍼링크는 2010을 제외한 대부분의 버전에서 실행이 가능했다는 게 센터 측의 설명이다. 뷰어 버전에서도 공격이 가능하다는 걸 확인할 수 있는 대목이다.

영남이공대 사이버보안연구센터 손우탁, 고영빈 연구원은 “낮은 버전의 한글 프로그램을 사용할 경우 악성코드를 이용한 공격에 노출될 수 있기 때문에 주의가 필요하다”며, “가급적 한글 2022 등 최신 버전을 사용하는 것이 좋으며, 2018나 2020 버전을 사용할 경우에는 반드시 최신 패치를 적용해야 한다”고 강조했다.
[기획취재팀(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

권준기자 기사보기

• “
•  SNS에서도 보안뉴스를 받아보세요!! 
• ”

• 조회순
• 추천순
• 스크랩순

• 1

  [2025 인증보안 솔루션 리포트] 퀀텀 점...

• 2

  [2025 방폭 CCTV 제품&솔루션 리포트...

• 3

  [현장탐방] 아마노코리아의 ‘A’렌터카허브’...

• 4

  [SKT 해킹 사태] 4년간 방치된 SKT ...

• 5

  김현민 금보원 디지털자산보안팀장 “전통 금융...

• 1

  경기도, 자율주행 버스에 양자 통신 기술 실...

• 2

  [2025 지문·정맥 인식 리포트] 피부 아...

• 3

  [2025 정보보호공시] 올해 보안 톱 3도...

• 4

  [단독] 인터파크, 개인정보 유출 또...개...

• 5

  [SKT 해킹 사태] SKT 악성코드, 이렇...

• 1

  [단독] 인터파크, 개인정보 유출 또...개...

• 2

  [카드뉴스] 해외여행 중 결제 순간, 당신의...

• 3

  [2025 정보보호공시] 올해 보안 톱 3도...

• 4

  ‘정부 사기 피해 구제 신청’ 문자, 가짜입...

• 5

  아홀드 델하이즈, 랜섬웨어 공격에 220만명...