"북핵해결 3대 전략", "삼위일체의 북핵전략" 등의 내용을 가지고 있는 한컴 HWP 문서의 보안 취약점을 이용한 악성파일이 발견됐다. 해당 악성파일이 사용한 보안취약점은 현재 아직 보안 업데이트가 공식 배포되고 있지 않은 Zero-Day 취약점이기 때문에 최신 버전의 한컴오피스 사용자들도 직접적인 위협에 노출될 가능성이 매우 높은 상황이다.
 
잉카인터넷 대응팀 관계자는 “최근 연속해서 HWP 한글 문서 취약점을 이용하고, 통일 또는 북핵 등 국가안보와 관련된 정치적인 키워드를 포함한 악성 파일이 연속해서 발견되고 있다는 점에서 특정할 수는 없지만, 정부부처 및 기관, 국방, 기업 등을 표적으로 한 지능형지속위협(APT)으로 사용되고 있을 것으로 예상된다”며 “한컴오피스 제품군 이용자들은 최신 업데이트가 배포되기 전까지 이와 유사한 문서파일 열람을 가급적 자제하고 신뢰할 수 있는 보안서비스 등을 통해서 사전 방역을 위한 노력을 기울여야 한다”고 주의를 당부했다.
 
이번 악성파일은 "북핵해결 3대 전략"(Strategic Triad), "삼위일체의 북핵전략"(Strategic Trinity) 등의 제목을 가지고 있으며, 국방안보와 남북 교류협력 북핵협상 등의 내용을 포함하고 있는 것으로 드러났다.
 
하지만 해당 내용은 정상파일처럼 보이도록 하기 위한 하나의 속임수 수법이며, 실제로는 HWP 보안취약점을 이용해서 사용자 몰래 또 다른 악성파일을 설치하고 감염시키는 행위를 하게 된다.
 
공격 수법은 다음과 같다. 첫번째 단계로 윈도우 폴더 경로에 hwprnt.dll이라는 악성파일을 생성한다. 다음으로 시스템폴더 경로에 comirv.dll, rundir.dll, soric.rxc 등의 파일을 생성한다. soric.rxc 파일은 사용자 컴퓨터의 주요 정보들을 수집한 문서파일이다.
 
수집된 악성파일은 인디아 타임스라는 해외 도메인 이메일로 전송을 시도한다. 특징적으로 메일에는 "kim unhong" 이라는 한국식 이름이 포함되어 있다.
 
실제 수집된 정보를 이메일로 발송하기 위해서 제작된 코드들도 존재하고 한글 등으로 구성된 내용을 볼 수 있다. 공격자는 인디아타임스 메일 서비스의 코드를 악용해 사용한 것으로 나타났다.
 
잉카인터넷 대응팀 관계자는 “현재 해당 HWP 악성파일이 이용하는 보안취약점에 대한 패치가 제공되고 있지 않았기 때문에 이용자들의 각별한 주의가 요망된다”며 “문서파일의 취약점을 이용해서 개인정보 수집시도를 하고 있다는 점에서 보안위협에 노출된 표적들에 대한 2차~3차공격이 진행될 수 있을 것으로 예상된다”고 강조했다.
 
또 “이러한 악성파일로부터 안전한 PC사용을 유지하기 위해서는 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화하고 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다”고 밝히고 더욱이 “출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제하고 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의해야 한다”고 조언했다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com