하우리 “악성코드 은닉 쉽고 탐지 어렵워 장시간 잠복해 악성행위 수행”
한글 문서 파일을 악용한 사이버 공격이 지속적으로 발견되고 있다. 특히 한글(HWP)문서는 국내 정부 및 공공기관에서 대부분 사용하고 있기 때문에 더욱 위험하다. 공격자는 이메일 첨부파일에 악성 한글 파일을 첨부해 악성코드 감염을 유도하는 공격방법을 주로 취하고 있어 각별한 주의가 요구된다.한편 3일, 하우리(대표 김희천)는 변조된 악성 한글 프로그램 파일을 발견해 긴급 업데이트를 진행했다고 밝혔다. 또한 변조된 한글 프로그램 파일을 분석하던 도중 해당 악성코드와 유사한 변종 악성코드가 추가로 수집되어 모두 긴급 업데이트를 진행했고 KISA와 공조해 악성코드 유포지와 경유지 모두를 차단했다고 전했다.
하우리 CERT실에 따르면, 이번에 발견된 변조된 악성 한글 프로그램은 10월 중순경 접수되어 분석하던 중 감염된 PC의 시스템 정보를 탈취하고 연결된 서버에서 악성코드를 추가로 다운로드 받는 것을 확인했다.
또 이번에 발견된 악성 한글 프로그램 파일들은 정상적인 파일 진입점(OEP)을 변경해 악성코드 진입점(New EP)이 우선 실행되도록 변조했다. 정상 파일에 악성코드를 심어 변조할 경우 정상적으로 한글 파일을 실행하고 사용하는데 지장이 없으며, 백그라운드로 악성행위를 수행하도록 제작되어 있어 파일의 변조 여부를 파악하기가 어렵다고 전했다.
이어 악성코드를 다운로드하고 감염된 사용자의 시스템 정보를 유출해 악성코드 제작자가 미리 만들어놓은 서버로 전송하는 것으로 확인됐다. 시스템 정보 유출 항목은 △연결 중인 IP 및 포트 번호 출력 △네트워크 연결 목록 △최근 사용 파일 △사용자 계정 정보 △즐겨찾기 파일 목록 △실행 중인 프로세스 정보 등이다.
변조된 악성 한글 프로그램 파일은 악성코드의 은닉이 쉽고 탐지가 어렵기 때문에 장시간 잠복하여 악성행위를 수행할 수 있다. 특히 한글 프로그램은 국가기관이나 공공기관에서 많이 사용하기 때문에 감염 시 기밀문서이나 중요 시스템 정보들이 유출될 수 있다.
하우리 CERT실 관계자는 “변조된 한글 프로그램 파일을 분석하던 도중 해당 악성코드와 유사한 변종 악성코드가 추가로 수집되어 모두 긴급 업데이트를 진행했고 악성코드 제작자가 동일한 유형의 변종 악성코드를 다수 배포하고 있는 정황을 파악할 수 있었다. 또한 한글 프로그램 뿐만 아니라 다른 프로그램도 변조의 대상이 될 수 있으므로 이를 예의주시하고 있으며 사용자와 관리자의 주의가 요구된다”며 “최근 치명적인 악성코드들이 웹이나 메일을 통해서 대량 유포되고 있어서 엔드포인트 보안 강화가 중요시 되고 있다” 며 “PC 사용자들의 상시적인 보안교육 및 보안의식을 고취시키고 각종 취약점의 최신 보안패치와 대응 솔루션을 마련하는 것이 중요하다”고 강조했다.
이번 악성코드는 2015-10-30.01 버전 이후로 Generic 탐지 엔진에 적용되어 바이로봇 백신 프로그램에서 모두 진단/치료 가능한 상태이며, 유포지 및 경유지는 한국인터넷진흥원과 공조해 모두 차단된 상태이다.
★정보보안 대표 미디어 데일리시큐!★
<데일리시큐 길민권 기자> mkgil@dailysecu.com
■ 보안 사건사고 제보 하기
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
저작권자 © 데일리시큐 무단전재 및 재배포 금지