문서취약점 악용한 타깃 공격의 끝없는 진화!

한글·워드 문서 악용 악성코드 연이어 발견...특정 타깃 대상 공격

시그니처 기반 백신만으로는 한계...특화된 전용 솔루션 도입 필요

[보안뉴스 권 준] 한글·워드 등 문서 프로그램의 취약점을 악용한 타깃 공격이 끊이지 않고 있어 이를 예방·차단하기 위한 별도의 대책 마련이 요구되고 있다.

특히, 최근에는 정부기관을 사칭한 과제모집 공고나 기관에서의 전문가 대상 서면자문 조사 문서 등을 사칭해 악성코드를 유포하거나 국제기구나 특정 국가를 대상으로 한 정치·군사적 목적의 악성코드 유포가 광범위하게 이루어지고 있는 상황이다.

‘중소기업청 과제모집 공고’와 ‘2013년 대구세계에너지총회 연계사업 발굴을 위한 전문가 서면자문 조사’라는 제목으로 발송된 한글문서 취약점 악용 악성코드. [자료 : 하우리]

일례로 최근 발견된 ‘중소기업청 과제모집 공고’와 ‘2013년 대구세계에너지총회 연계사업 발굴을 위한 전문가 서면자문 조사’라는 제목으로 이메일을 통해 발송된 악성코드는 한글문서 취약점을 악용한 것으로 드러났다. 특히, ‘전문가 서면자문 조사’ 문서의 경우 응답자 작성자란에 한국전자통신연구원(ETRI) 팀장의 인적사항이 기재되어 있는 등 공격대상을 속이기 위해 교묘히 위장된 것으로 드러났다.

이번 악성코드를 발견해 분석한 하우리 최상명 선행연구팀장에 따르면 2건의 한글문서에 발견된 악성코드의 경우 시작프로그램에 Adobe사의 관리프로그램인 ‘Adobe Reader and Acrobat Manager’ 정상프로그램 파일명과 동일한 ‘AdobeARM.exe’로 생성되어 시스템 시작 시마다 자동 실행되는 것으로 나타났다.

이와 관련 최 팀장은 “이번 악성코드의 경우 C&C 서버 ‘Hanmail(dot)Kwik(dot)To’으로 접속해 공격자의 암호화된 명령을 수신 받아 다양한 악성행위를 수행하는 것으로 분석됐다”고 설명했다.

북대서양조약기구(NATO)의 특전사령부를 타깃으로 삼은 워드문서 취약점 악용 악성코드. [자료 : 하우리]

이러한 한글문서 뿐만 아니라 워드문서를 악용한 악성코드도 발견됐다. 더욱이 발견된 악성코드가 북대서양조약기구(NATO)의 특전사령부를 타깃으로 삼은 것으로 알려져 국제기구 및 특정 국가를 대상으로 한 국제정보 수집 및 사이버테러 목적으로 활용하기 위한 게 아니냐는 추측도 제기되고 있다.

이번 워드문서 악성코드의 경우 접속한 C&C 서버는 ‘domain(dot)dns2(dot)us’이며, C&C 통신수단으로 SSL 암호화 통신을 활용했다는 게 최 팀장의 설명이다.

이렇듯 한글·워드 등 문서취약점을 악용한 악성코드가 연이어 유포되는 것과 관련해 공공기관·기업에서 문서전용 보안 솔루션을 도입하는 것 등을 비롯한 다각도의 보안대책이 필요하다는 지적이 제기되고 있다. 기존 시그니처 기반의 백신들은 악성코드 샘플이 백신업체에 접수된 후부터 탐지가 가능하기 때문에 새롭게 발견되는 신종 문서기반 악성코드를 탐지하는 데 한계가 있기 때문이라는 것.

이와 관련 하우리 최상명 선행연구팀장은 “악성코드 유포자들은 공문 및 의뢰서 등 사람들이 열어보지 않을 수 없게끔 하는 지능적인 제목과 내용으로 특정 타깃의 PC를 노리고 있다”며, “이러한 문서기반 악성코드를 효과적으로 차단하기 위해서는 기존 시그니처 기반의 백신과 함께 행위 기반 탐지 기술이 결합된 문서 악성코드 전용 보안 솔루션을 도입하는 등 APT를 비롯한 타깃 공격에 대응할 수 있는 보다 차별화된 보안대책이 필요하다”고 강조했다.

[권 준 기자(editor@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)