통일정책 토론회 문서내용 등을 포함하고 있는 HWP 악성파일이 국내에 전파된 것이 확인됐다. 현재 잉카인터넷 대응팀은 해당 파일의 유포지 등 부수적인 자료를 추적 중에 있으며, 악성파일에 대한 긴급 업데이트도 함께 완료한 상태이다.

 
잉카인터넷 관계자는 “최신 업데이트가 이뤄진 한컴오피스 사용자일지라도 아직 알려지지 않은 HWP Zero-Day Exploit을 사용하고 있어 매우 각별한 주의가 필요하다”며 “설치된 악성파일은 사용자 컴퓨터의 실행중인 프로그램 리스트와 시스템 주요정보 등을 저장하여 외부로 유출을 시도하기 때문에 해당 악성파일에 감염된 경우 개인정보 유출 피해를 입을 가능성이 높다”고 강조했다.  
 
해당 HWP 문서형 악성파일이 실행되면 "2012년 통일정책 토론회(통일정책실 주관) 일정" 등의 문서 화면이 보여지면서 사용자 몰래 악성파일을 설치하게 된다.
 
한컴오피스 제품군 중 한컴 자동 업데이트와 같이 "한글 2005" "한글 2007" "한글 2010" 등 사용자들이 최신 업데이트를 설치해도 악성파일이 설치되는 최신 보안취약점(Zero-Day Exploit)을 이용하고 있기 때문에 매우 위험한 상황이다.
 
HWP 악성파일이 실행되면, 동시에 사용자 몰래 다음과 같은 파일들이 설치된다.
C:WindowsYAHOO.dll
C:WindowsSystem32winview.exe
C:WindowsSystem32c_38901.nls
C:WindowsSystem32IBMCodecSrv.exe
C:WindowsSystem32abc.bat
C:WindowsSystem32tmp.dat
C:WindowsSystem32c_43911.nls
 
"c_43911.nls" 파일은 사용자 컴퓨터의 정보를 수집해 기록된 로그파일로서 공격자는 악성파일 감염자의 컴퓨터 내역을 우선 파악하고자 했던 것으로 추정된다. 그 이후에 원하는 이용자만 표적으로 2차 공격을 수행하기 위한 대상자 선정용 로그로 사용될 가능성이 높다. 따라서 공격자는 지능형지속위협(APT) 공격의 단계 중 정보수집 목적으로 해당 악성파일을 유포한 것으로 보인다.
 
"IBMCodecSrv.exe" 파일의 경우는 한글을 이용해서 마치 IBM 기반 음성코덱 장치처럼 위장하여 서비스에 등록된다. 악성파일 제작자가 직접 한글을 사용했다는 점이 큰 특징 중에 하나이다.
 
"IBMCodecSrv.exe" 악성파일 내부 코드에 직접 한글로 저장된 것을 확인할 수 있는데, 이것은 프로그램 개발 당시부터 한글로 입력이 된 것이다.
 
"winview.exe"파일과 "IBMCodecSrv.exe"악성파일은 파일명만 다른 동일한 파일로서, "IBMCodecSrv.exe"  파일이 서비스에 등록된 후 일정기간 후에 자동으로 삭제된다.
 
수집된 사용자 정보는 구글의 Gmail 등을 이용해서 외부로 유출을 시도하게 된다.
 
잉카인터넷 대응팀 관계자는 “현재 해당 HWP 악성파일이 이용하는 보안취약점에 대한 패치(업데이트)가 제공되고 있지 않기 때문에 이용자들의 각별한 주의가 요구된다”며 “문서파일의 취약점을 이용해서 개인정보 수집시도를 하고 있다는 점에서 보안위협에 노출된 표적들에 대한 2차~3차 공격이 진행될 수 있을 것으로 예상된다”고 경고했다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com