2012년 초부터 최근까지 한글과컴퓨터사(www.hancom.com)의 HWP 문서파일의 취약점을 이용한 악성파일이 약 100여개 가깝게 발견되고 있는 가운데, 11월 19일 HWP 취약점을 이용한 2가지 형태의 악성파일이 추가로 발견되어 사용자들의 각별한 주의가 요망되고 있다.
 
보안 전문기업 잉카인터넷(대표 주영흠 www.nprotect.com)은 ISARC 대응팀을 통해 HWP취약점을 이용한 악성파일 변종이 급증하고 있다고 20일 밝혔다.
 
이번에 발견된 악성파일은 중소기업청의 신제품 개발사업 및 해외수요처 연계 기술개발사업 과제 모집 공고문으로 위장한 형태와 2013년 대구 세계 에너지 총회와 관련된 문서 등으로 위장된 파일이 동일한 공격에 사용되었다
 
해당 HWP 악성파일을 실행할 경우 정상적인 문서파일을 별도로 실행하여 사용자로 하여금 악성파일로 의심받지 않도록 한다. 그러나 악의적인 HWP 파일은 정상적인 문서를 보여주는 동시에 또 다른 악성파일을 사용자 몰래 추가 설치한다. 악성파일은 시작프로그램 경로에 마치 어도브 관련 파일처럼 위장한 “AdobeARM.exe” 이름으로 생성된다.

 
또한, 국내 포털사의 웹메일 서비스 도메인과 유사하게 위장한 외부의 원격 호스트로 몰래 접속하여 공격자의 추가적인 명령에 따라 다양한 정보 유출 및 추가 악성파일 감염, 원격제어 등의 다양한 피해가 발생할 수 있다.
 
잉카인터넷 ISARC 대응팀 문종현팀장은 “HWP문서파일은 한국의 기업, 학교, 정부기관 등에서 주로 많이 이용되고 있다는 점에서 국지적 표적형 공격에 은밀하게 사용되고 있는 상황이다”라며, “현재 HWP 문서파일의 취약점을 이용한 악성파일이 끊이지 않고 발생하고 있다. 이용자들은 최신 버전으로 반드시 업데이트하도록 하고, 간혹 보안패치가 제공되지 않는 Zero-Day 공격도 보고되고 있으므로, 의심스러운 파일에 노출되지 않도록 각별한 주의가 필요한 상태이다”라고 강조하였다.
 
잉카인터넷 nProtect Anti-Virus/Spyware3.0 정식 서비스 제품에는 다음과 같이 이번에 발견 보고된 악성코드 파일들을 진단하고 있다.
 
Trojan-Exploit/W32.Hwp_Exploit.1010692
Trojan-Exploit/W32.Hwp_Exploit.1013763
Trojan/W32.Agent.19183
Trojan/W32.Agent.28088
 
잉카인터넷 ISARC는 신규 보안취약점과 관련한 자료 수집 및 모니터링을 지속적으로 진행하고 있으며, 새로운 악성파일이 발견되면 신속하게 업데이트 서비스를 제공하고 있다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com