이메일로 온 연봉계약서·선거공약 파일 열었다가...

최근 한글문서 취약점 악용한 악성코드 유포사례 빈번히 발생

불확실한 이메일 첨부파일 열지 말고 한글 보안패치 설치해야

[보안뉴스 권 준] 최근 한글 소프트웨어의 취약점을 악용해 악성코드 감염을 시도하는 공격들이 자주 발생하고 있다.

최근 대통령 선거공약 관련 내용의 문서로 유포된 한글 취약점에 이어 일반기업들의 연봉계약서 내용으로 위장해 유포된 취약한 한글 파일이 발견됐다고 안랩 ASEC 측은 밝혔다.

ASEC에 따르면 이번에 발견된 취약한 한글 파일은 ‘연봉계약서.hwp(1,015,812 바이트)’ 라는 파일명을 가지고 있으며, 이를 열게 되면 아래 이미지와 같은 내용이 보이는 것으로 알려졌다.

이번에 발견된 취약한 한글 파일은 HwpApp.dll에 존재하는 문단 정보를 파싱하는 과정에서 발생하는 버퍼 오버플로우로 인한 코드 실행 취약점으로 해당 취약점은 2012년 6월 제로데이(Zero-Day) 취약점으로 발견됐다.

한글 파일이 열리게 되면, 사용자 모르게 백그라운드로 ‘system32.dll (81,920 바이트)’를 다음 경로에 생성하게 된다.

C:\Documents and Settings\Tester\Local Settings\Temp\system32.dll

그리고 생성한 system32.dll 는 다시 ‘AppleSyncNotifier.exe(81,920 바이트)’이라는 파일을 다음 경로에 생성하게 된다.

C:\Documents and Settings\Tester\시작 메뉴\프로그램\시작프로그램\AppleSyncNotifier.exe

생성된 AppleSyncNotifier.exe는 실행 중인 프로세스 리스트 수집, 파일 다운로드 및 업로드와 실행, 프로세스 강제 종료 등의 악의적인 기능들을 수행하게 된다는 게 ASEC 측의 설명이다.

감염된 시스템에서 수집한 정보들은 미국에 위치한 특정 시스템으로 HTTP를 이용해 전송하는 것으로 알려졌다.

이와 관련 ASEC 측은 “이번에 발견된 대통령 선거공약 또는 연봉계약서 관련 내용을 담고 있는 취약한 한글 파일들은 V3 제품군에서 HWP/Exploit, Win-Trojan/Symmi.81920 등의 파일명으로 진단된다”며, “현재 한글과 컴퓨터 사에서 해당 취약점에 대한 보안 패치를 배포 중인 상태이므로 해당 보안패치를 설치하는 것이 악성코드 감염을 근본적으로 차단하는 방안”이라고 강조했다.

[권 준 기자(editor@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)