한글 악성파일 계속 발견...표적공격 주의해야

8일, 한·중 평화통일 포럼의 발표내용 요약문 위장한 악성파일 발견

최신 버전 한글오피스 프로그램으로 업데이트 유지가 필수

[보안뉴스 권 준] 최근 한글과컴퓨터 사의 한글(HWP) 문서파일의 취약점을 이용하는 악성파일이 지속적으로 발견되고 있어 주의가 요구되고 있다.

▲ 얼마 전 진행된 한·중 평화통일 포럼의 ‘한국전쟁 정전 60주년 평화를 묻다’의 발표내용 요약문처럼 위장한 악성 한글파일 [자료 : 잉카인터넷 대응팀]

특히, 8일 새롭게 발견된 한글 악성파일은 얼마 전 있었던 한·중 평화통일 포럼의 ‘한국전쟁 정전 60주년 평화를 묻다’의 발표내용 요약문처럼 위장한 형태였다고 잉카인터넷 대응팀 측은 밝혔다.

이 악성파일이 실행되면 한컴오피스 프로그램의 취약점에 의해서 정상적인 문서화면이 보이면서 임시폴더(Temp)에 exor.dll이라는 악성 DLL 파일이, 시스템 폴더 경로에는 ‘mfc100esu.dll’ 파일이 생성되는 것으로 분석됐다. 이렇듯 시스템파일처럼 자신을 숨겨두고 있기 때문에 일반 사용자가 육안으로 악성여부를 판단하기는 거의 불가능에 가깝다는 것.

더욱이 한글 등 문서파일의 취약점을 이용한 사이버공격은 특정한 공공기관이나 기업을 타깃으로 한 1차 침투 및 정찰용으로, 악성 이메일을 은밀하게 발송하는 스피어 피싱(Spear Phishing) 기법이 주로 활용되고 있다.

이러한 공격기법은 과거부터 많이 사용되던 매우 고전적인 수법이지만, 외부에 쉽게 노출되지 않고, 이용자들의 보안의식에 따라 공격대비 성공률이 상당히 높아 주로 이용되는 방식 중 하나다. 평소 업무에도 자주 이용하는 친숙한 문서파일은 이용자로 하여금 악성파일로 의심받을 확률이 낮고, 감염여부를 쉽게 판단하기 어렵다는 점에서 특정인이나 조직을 겨냥한 표적공격에 꾸준히 악용되고 있는 실정이다.

이와 관련 잉카인터넷 대응팀의 문종현 팀장은 “흥미로운 소재의 한글제목이나 관련문구로 현혹하여 감염을 유도하고, 이를 위해 공격대상과의 연관성이 매우 높은 맞춤형 문서파일이 주로 사용되고 있다”며, “최근까지도 HWP 문서파일의 취약점을 이용한 공격은 꾸준히 발생하고 있고, 일반에 공개되는 것은 빙산의 일각일 수 있다는 점을 항시 명심해야 한다”고 강조했다.

덧붙여 그는 “이용자들은 알려져 있는 보안취약점에 쉽게 노출되지 않도록 항시 최신버전의 한컴오피스 프로그램으로 업데이트를 유지하는 보안습관이 절대적으로 중요하며 이는 선택이 아니라 필수”라고 강조했다.

[권 준 기자(editor@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)