한국정보보호학회 학술 연구논문지 투고 규정 HWP 문서파일처럼 위장된 악성파일이 국내에 유포된 정황이 포착됐다.
 
한국정보보호학회는 정보보호를 위한 학술 및 관련분야의 발전에 공헌하기 위하여 1990년 12월에 창립되었으며, 현재 약 2,000 여명 이상의 회원과 80 여곳 이상의 회원사들이 활동하고 있다.
 
이 공격을 최초 발견한 잉카인터넷 관계자는 “이번에 발견된 HWP 악성파일은 한국정보보호학회 학회 및 논문지 관련 메뉴에서 실제 배포 중인 파일이 악용된 것”이라며 “이것을 미루어보아 정보보호 학술과 관련되어 있는 교수, 학생, 기업인들이 주요 표적이 되었을 것으로 예상된다”고 밝혔다.
 
최근들어 정보보호 업계에 근무하는 특정인에게 다수의 악성 이메일이 송신되고 있기도 하여, 전방위적인 표적공격이 감행되고 있다는 점을 간과해서는 안될 것으로 보인다. 특히 이러한 공격은 시작과 끝이 없이 무한 반복되는 양상을 띄고 있다는 점에서 각별한 주의가 요망된다.
 
이번에 발견된 악성파일은 HWP용 문서파일의 취약점을 이용했으며 악성파일 실행시 정상적인 문서파일을 보이도록 하기 위해서 한국정보보호학회 홈페이지에 등록되어 있는 실제 정상적인 논문 규정 파일(journal_rule.hwp)을 도용해 사용한 것이다.
 
한국정보호호학회 홈페이지에 등록된 정상 문서는 누구나 쉽게 다운로드 받을 수 있는 상황이다..
 
공격자는 이 HWP 문서파일을 불법적으로 악용해 열람하는 수신자로 하여금 최대한 신뢰할 수 있도록 조작했다. 정상적인 파일의 크기는 약 32Kb 정도이지만, 악의적인 파일의 크기는 약 429Kb 로 차이가 많다는 것을 알 수 있다.
 
하지만 일반적인 사용자가 파일크기 이외에 육안상으로 정상파일과 악성파일을 구분하는 것은 결코 쉽지 않다.
 
악성파일에 표적이 된 사용자가 해당 악성 journal_rule.hwp 파일을 보안취약점이 존재하는 상태에서 실행할 경우 임시폴더(Temp)에 정상적인 haha.hwp(약 32Kb)파일이 생성하고 실행된다. 이에따라 사용자 화면에는 "논문지 투고 규정"이라는 내용의 정상적인 문서가 보여지게 되고, 이 때문에 사용자는 악성파일을 실행한 상태라는 것을 인지하기 어렵게 된다.
 
haha.hwp 파일은 실제 한국정보보호학회 홈페이지에 등록되어 있는 journal_rule.hwp 문서와 100% 동일한 파일이다.
 
이어서 C:Program FilesCommon FilesMicrosoft SharedTriedit 경로에 "8d01df96.dll"라는 이름의 악성파일이 사용자 몰래 생성되고 실행된다.
 
"8d01df96.dll" 악성파일은 실행되는 컴퓨터 환경에 따라서 다양한 형태로 생성되며, 이것은 Anti-Virus 제품의 탐지 우회를 목적으로 사용되었을 것이다. 악성파일은 rundll32.exe 파일에 의해서 Dll Injection 되어 로딩된다.
 
악성파일은 일정시간 후에 한국의 특정 호스트로 접속을 시도하며, 공격자의 추가적인 악성 명령을 대기한다. 보통 이런 경우 공격자의 C&C 명령에 따라서 개인정보 유출 및 원격제어 등을 통한 추가 피해를 입을 가능성이 높다.
 
잉카인터넷 시큐리티 대응팀은 “정보보호 전공자 및 대학원생, 보안업계 직원, 보안 관련 웹 사이트 등 보안 전문가들을 표적으로 하는 APT 공격도 꾸준히 보고되고 있는 만큼 각별한 주의가 필요하다”며 “또한 공격자는 주변 지인들을 먼저 공격하고 성공한 경우 지인들의 이메일을 도용하여 2차, 3차 공격에 사용할 수 있다는 점을 잊어서는 안된다”고 강조했다.
 
더불어 “그동안 알고 지내던 지인이 보낸 메일이 악의적 기능을 가진 표적 공격형일 수도 있다는 점을 항상 유념하고, 항상 조심하는 습관을 가지는 것이 중요하고, 한글과컴퓨터의 한컴 오피스를 사용하는 경우 공개된 취약점이 해결된 최신 보안 업데이트를 설치하는 것이 필수적이라 할 수 있다”고 덧붙였다.
 
한글과컴퓨터 패치 업데이트 링크는 아래와 같다.
-www.hancom.com/downLoad.downPU.do?mcd=001
[데일리시큐=길민권 기자]