한컴오피스 한글 2010 프로그램의 HWP 문서파일에서 2012년 11월 26일 현재 보안취약점 제거 패치가 제공되고 있지 않은 HWP 2010 제로데이 공격 기능의 악성파일이 발견돼 주의가 요구된다.  
 
잉카인터넷 관계자는 “해당 악성파일은 한컴오피스 최신버전(8.5.8.1300)의 한글 2010을 사용하더라도 악성파일이 몰래 설치되고 있기 때문에 이용자들의 각별한 주의가 요구된다”며 “최근 연이어 HWP 문서 취약점을 악용한 악성파일 표적공격이 지속적으로 발생하고 있으므로, 의심스럽거나 신뢰하기 어려운 경우의 HWP 문서파일에 무의식적으로 접근하고 실행하지 않아야 할 것으로 보인다. 특히, 특정 기업이나 정부기관 등을 겨냥한 은밀한 표적공격에 다수 이용되고 있다는 점에 주목된다”고 밝혔다.

 
이번에 발견된 HWP 문서파일은 "한국 공군의 위상에 대한 평가와 진단"이라는 제목을 가진 HWP 문서파일로 위장하고 있으며, 본문 내부에는 공군과 관련된 내용이 포함되어 있다.
 
취약점이 존재하는 HWP 문서파일을 열람 후 스크롤바를 통해서 내리다보면 "문제 제기"라는 부분에서 Temp 폴더에 "HncCtrl.exe" 이름의 악성파일이 생성되고 실행된다.
 
실행환경에 따라서 오류창이 발생하기도 하며 생성되는 악성파일은 마치 한컴 컨트롤 파일처럼 보이도록 하기 위해서 파일명을 "HncCtrl.exe" 이름으로 위장했다.
 
"HncCtrl.exe" 이름의 악성파일이 실행되면 시스템폴더의 하위에 "IE"라는 폴더를 생성하고 내부에 "taskmgr.exe", "sens.dll" 이름의 악성파일을 추가로 생성하고 실행한다.
 
악성파일은 사용자 컴퓨터에서 개인정보를 수집해 구글의 Gmail 을 이용해서 외부로 유출을 시도한다.
 
잉카인터넷 대응팀 관계자는 “현재 HWP 문서파일의 취약점을 이용한 악성파일이 끊이지 않고 발생하고 있다. 이용자들은 최신 버전으로 반드시 업데이트하도록 하고 2012년 11월 26일 현재 Zero-Day 공격 기능을 가진 악성파일이 발견된 상태이므로 신뢰하기 어려운 조건의 HWP 문서파일을 실행하지 않도록 세심한 주의가 필요하다”고 강조했다.
 
또 “다양한 악성파일로 부터 안전한 PC사용을 유지하기 위해서 기본적인 보안 관리 수칙을 준수하여 악성파일 감염을 사전에 예방할 수 있도록 하자”고 권고했다.
 
<보안 관리 수칙>
1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.
2. 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.
3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.
4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의
 
데일리시큐 길민권 기자 mkgil@dailysecu.com