한국과 일본의 양국간 독도 영토문제로 인하여 대립이 더욱더 첨예해지고 있는 가운데, 중국과 일본간의 조어도(일본명 센카쿠 열도) 관련 한글문서를 이용한 악성코드가 발견되어 주의가 요구된다.

 
하우리(대표 김희천, www.hauri.co.kr) 관계자는 “발견된 한글 악성문서는 조어도에 관련된 내용을 한글문서화해 악성코드를 삽입하는 형태로 제작되었다. 해당 한글 프로그램의 취약점을 이용하여 감염되기 때문에 한글 최신 보안패치가 되어 있지 않은 수신자들은 첨부파일을 열람할 경우 감염이 이루어진다.
 
해당 한글 악성문서를 열람하면 사용자들 모르게 백그라운드로 다음과 같은 경로에 악성파일을 생성한다.

 
?C:Windowsdrvsecu.exe : 컴퓨터 시스템 정보 수집 후 특정 메일 서버로 정보 전송
?C:Documents and SettingsAdministratorLocal SettingsTemp~e.dll : ~tmp.exe 악성파일 생성 및 실행
 
생성된 악성코드는 다음과 같은 사용자 정보 및 시스템 정보를 수집한다.
 
-컴퓨터 시스템 정보(OS 정보, CPU 정보, 실행 프로세스 정보)
 
수집된 정보는 암호화 되어 파일로 저장되고 e***g@my*****a.com 이라는 계정을 통해서 다음과 같은 메일로 악성코드 제작자에게 전송된다.
 
-전송하는 메일 주소 : fw****fw@h**mail.com
 
악성코드 제작자들은 수집된 시스템 정보들을 이용하여 겨냥한 기관들의 시스템 환경 기반을 확인하고 또 다른 공격을 위한 악성코드를 제작하는데 사용될 것으로 추정된다. 
 
<한글 악성문서 감염예방 수칙>
-한글 프로그램과 OS(Operating System)의 보안패치를 최신으로 유지한다.
-일반적으로 한글 악성문서는 메일에 첨부파일로 발송되기 때문에 함부로 열람해서는 안된다.
-메일 발신자가 의심스럽거나 불명확할 때에는 과감히 삭제하거나 첨부파일을 열람하지 않는다.
-메일 첨부파일을 열람할 경우에는 반드시 백신 프로그램의 최신 업데이트를 한 후 실시간 감시기를 활성화한다.
-APT 공격 방어 솔루션을 도입하여 사전에 차단한다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com