이메일로 온 연봉계약서·선거공약 파일 열었다가...

최근 한글문서 취약점 악용한 악성코드 유포사례 빈번히 발생

불확실한 이메일 첨부파일 열지 말고 한글 보안패치 설치해야

[보안뉴스 권 준] 최근 한글 소프트웨어의 취약점을 악용해 악성코드 감염을 시도하는 공격들이 자주 발생하고 있다.

최근 대통령 선거공약 관련 내용의 문서로 유포된 한글 취약점에 이어 일반기업들의 연봉계약서 내용으로 위장해 유포된 취약한 한글 파일이 발견됐다고 안랩 ASEC 측은 밝혔다.

ASEC에 따르면 이번에 발견된 취약한 한글 파일은 ‘연봉계약서.hwp(1,015,812 바이트)’ 라는 파일명을 가지고 있으며, 이를 열게 되면 아래 이미지와 같은 내용이 보이는 것으로 알려졌다.

이번에 발견된 취약한 한글 파일은 HwpApp.dll에 존재하는 문단 정보를 파싱하는 과정에서 발생하는 버퍼 오버플로우로 인한 코드 실행 취약점으로 해당 취약점은 2012년 6월 제로데이(Zero-Day) 취약점으로 발견됐다.

한글 파일이 열리게 되면, 사용자 모르게 백그라운드로 ‘system32.dll (81,920 바이트)’를 다음 경로에 생성하게 된다.

C:\Documents and Settings\Tester\Local Settings\Temp\system32.dll

그리고 생성한 system32.dll 는 다시 ‘AppleSyncNotifier.exe(81,920 바이트)’이라는 파일을 다음 경로에 생성하게 된다.

C:\Documents and Settings\Tester\시작 메뉴\프로그램\시작프로그램\AppleSyncNotifier.exe

생성된 AppleSyncNotifier.exe는 실행 중인 프로세스 리스트 수집, 파일 다운로드 및 업로드와 실행, 프로세스 강제 종료 등의 악의적인 기능들을 수행하게 된다는 게 ASEC 측의 설명이다.

감염된 시스템에서 수집한 정보들은 미국에 위치한 특정 시스템으로 HTTP를 이용해 전송하는 것으로 알려졌다.

이와 관련 ASEC 측은 “이번에 발견된 대통령 선거공약 또는 연봉계약서 관련 내용을 담고 있는 취약한 한글 파일들은 V3 제품군에서 HWP/Exploit, Win-Trojan/Symmi.81920 등의 파일명으로 진단된다”며, “현재 한글과 컴퓨터 사에서 해당 취약점에 대한 보안 패치를 배포 중인 상태이므로 해당 보안패치를 설치하는 것이 악성코드 감염을 근본적으로 차단하는 방안”이라고 강조했다.

[권 준 기자(editor@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)