안랩 ASEC에서는 6월 15일 한글과 컴퓨터에서 개발한 한글 소프트웨어에 존재하는 코드 실행 취약점을 악용한 악성코드 유포 사례가 발견되었음을 공개했다.
 
현재 해당 코드 실행 취약점에 대해서는 6월 22일 한글과 컴퓨터에서는 해당 취약점을 제거할 수 있는 보안 패치를 공개해 해당 취약점을 악용한 악성코드 감염 시도에 대해서는 원천적인 차단이 가능하다.
 
하지만 26일 다시 국내에서 알려진 한글 소프트웨어의 취약점을 악용하 악성코드 감염을 시도한 사례가 발견되었다.
 
이번에 유포된 취약한 한글 파일은 국내 특정 조직들을 대상으로 발송된 이메일의 첨부 파일 형태로 유포되었으며, 첨부된 취약한 한글 파일을 열게되면 6월 15일 발견된 코드 실행 취약점을 응용한 형태가 아니라 이미 보안 패치가 제공되어 있는 취약점으로 공격이 이루어진다.
 
이 번에 발견된 해당 취약한 한글 파일은 HncTextArt_hplg에 존재하는 스택(Stack)의 경계를 체크하지 않아 발생하는 버퍼 오버플로우(Buffer Overflow)취약점이며, 해당 취약점은 2010년부터 지속적으로 악용되어 왔던 한글 소프트웨어 취약점들 중 하나이다.
 
해당 취약점이 존재하는 한글 소프트웨어를 사용하는 시스템에서 26일 유포된 취약한 한글 파일을 열게 되면 사용자 계정의 임시 폴더에 scvhost.exe (138,752바이트) 파일을 생성하게 된다.
 
오늘 발견된 기존에 알려진 한글 소프트웨어 취약점을 악용한 악성코드들은 V3제품군에서 다음과 같이 진단한다.
 
-HWP/Agent
-Win-Trojan/Npkon.138752
-Trojan/Win32.Dllbot
 
안랩 APT 대응 솔루션 트러스와쳐(TrusWatcher)에 포함된 DICA(Dynamic Intelligent Content Analysis)에 의해 시그니처 없이 아래와 같이 탐지가 가능하다.
 
-Exploit/HWP.AccessViolation-DE
 
향후 출시 예정인 V3 인터넷 시큐리티(Internet Security) 9.0에 포함 예정인 ASD 2.0의 MDP 엔진에서도 시그니처 없이 다음과 같이 탐지가 가능하다.
-Dropper/MDP.Document(57)
 
이번에 유포된 취약한 한글 파일은 이미 한글과 컴퓨터에서 보안 패치를 배포 중인 상태이다. 그러므로 해당 보안 패치를 설치하는 것이 악성코드 감염을 근본적으로 차단하는 방안이다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com