한글과컴퓨터의 HWP 문서파일 취약점을 이용하는 악성파일을 지속적으로 발견되고 있다. 문서파일의 취약점을 이용한 공격은 특정기업이나 기관을 겨냥한 1차침투 및 정찰용 악성 이메일을 은밀하게 발송하는 스피어피싱 기법이 활용된다. 이러한 공격기법은 과거부터 많이 사용되던 매우 고전적인 수법이지만, 외부에 쉽게 노출되지 않고, 이용자들의 보안의식에 따라 공격대비 성공율이 나름대로 높아 주로 이용되는 방식 중 하나이다.
 
평소 업무에도 자주 이용하는 친숙한 문서파일은 이용자로 하여금 악성파일로 의심받을 확률이 낮고, 감염여부를 쉽게 판단하기 어렵다는 점에서 특정인이나 조직을 겨냥한 표적공격에 꾸준히 악용되고 있는 실정이다.
 
잉카인터넷 대응팀 문종현 팀장은 “흥미로운 소재의 한글제목이나 관련문구로 현혹해 감염을 유도시키고, 최대한 공격대상과의 연관성이 높은 맞춤형 문서파일이 사용된다”며 “최근까지 HWP 문서파일의 취약점을 이용한 공격은 꾸준히 발생하고 있고 일반에 공개되는 것은 빙산의 일각일 수 있다는 점을 항시 명심하여야 한다. 따라서 이용자들은 알려져 있는 보안취약점에 쉽게 노출되지 않도록 항시 최신버전의 한컴오피스 프로그램으로 업데이트를 유지하는 보안습관이 절대적으로 중요하다”고 강조했다.
 
현재에도 악성 HWP 문서파일이 꾸준히 발생하고 있다는 점을 명심해야 하며, 종종 알려지지 않은 새로운 보안취약점(Zero-Day) 공격도 발생하고 있다.

 
문 팀장은 “8월 8일에 발견된 HWP 악성파일은 얼마전 있었던 한·중 평화통일 포럼의 "한국전쟁 정전 60주년 평화를 묻다"의 발표내용 요약문처럼 위장한 형태도 발견됐다”며 “이 HWP 악성파일이 실행되면 한컴오피스 프로그램의 취약점에 의해서 정상적인 문서화면이 보여지면서, 임시폴더(Temp)에 exor.dll이라는 악성 DLL 파일이 생성되며, 시스템 폴더 경로에는 "mfc100esu.dll" 파일이 생성된다. 마치 시스템파일처럼 자신을 숨겨두고 있기 때문에 일반 사용자가 육안상으로 악성여부를 판단하기는 거의 불가능에 가깝다”고 설명했다.  
 
이외에도 발견된 HWP 악성파일은 매우 다양하며, 은밀한 표적공격에 지능적으로 사용되고 있기 때문에 이용자들의 각별한 주의가 필요하다.
 
데일리시큐 호애진 기자 ajho@dailysecu.com