한글과컴퓨터의 문서파일 취약점을 이용한 표적 공격을 집중 모니터링 하던 과정 중 "박근혜의 외교정책.hwp" 이름의 악성파일이 발견됐다. 이 파일은 실행 시 HWP 파일의 보안 취약점을 이용해서 시스템 폴더 경로에 "ESTsoftReg.exe", "mncomun.dll", "mnkyst.dll", "mnsandp.dll" 등의 악성파일을 몰래 설치하고 사용자 화면에는 「박근혜 정부의 외교·안보 정책의 기조와 딜레마」제목의 정상적인 문서파일을 보여준다.
 
잉카인터넷 대응팀 관계자는 “이용자에게는 마치 정상적인 한글파일로 보여지게 된다. 이러한 문서파일 취약점을 이용한 악성파일은 지능적인 표적공격에 은밀하게 사용되고 있으며 피해자들은 자신이 어떤 과정에서 신종 악성파일에 노출되었는지 정확한 내용을 인지하기 어렵게 된다. 그러므로 공격자들이 꾸준히 문서파일의 취약점을 악용하고 있다는 것을 명심해야 한다”고 강조했다.  
 
더불어 “기존에 공개되어 알려져 있는 보안취약점의 경우 최신버전으로 프로그램을 업데이트하면 손쉽게 해결할 수 있다”며 “운영체제를 포함해 자주 활용하는 문서 및 응용 프로그램들은 반드시 자동 업데이트로 조건을 설정하고 수시로 최신버전 여부를 체크하는 보안습관이 중요하다. 또 보안 프로그램의 실시간 감시 활성화및 정기적 검사를 통해서 숨겨져 있는 악성파일을 찾아 제거하는 특단의 조치가 굉장히 중요한 부분”이라고 밝혔다.
 
잉카인터넷 대응팀 설명에 따르면, 대부분의 악성파일은 실행파일(EXE, SCR, DLL, SYS 등) 확장자 기반으로 작동한다. 그렇다 보니 이메일의 첨부파일에 EXE 파일이 첨부되어 있다면 육안 상으로도 금방 의심으로 분류되어 감염될 확률은 비교적 감소한다. 이런 이유로 공격자들은 실행파일을 숨기기 위한 다양한 수법을 동원하는데, 대표적으로 2중 확장자 속임수를 쓰거나, ZIP/RAR 형태로 압축을 쓰거나 하는 등 고전적인 방식도 많이 존재한다. 그러나 이용자를 속이기 위한 가장 효과적인 방법은 문서파일 내부에 악성파일을 숨겨두는 것이다. 평소에도 문서파일은 이메일로 전달하는 경우가 비일비재하기 때문에 상대적으로 의심의 눈초리를 낮출 수 있기 때문이다.
 
대응팀 관계자는 “국내에서 이용자가 많은 HWP 문서파일은 국지적 표적 공격에 꾸준히 이용되고 있고, 은밀하게 유포되고 있기 때문에 외부에 알려지는 경우도 매우 적은 편에 속한다. 이용자들은 이런 점을 잊지 말고 문서파일에 대한 보안을 강화할 수 있도록 각자 많은 관심과 노력을 기울여야 할 때”라고 강조했다.
 
이번에 발견된 사례는 정치적인 문서파일 내용처럼 위장하여 전파되었고, 실행시 보여지는 화면은 아래와 같다.

 
보안취약점이 존재하는 경우 위와 같이 정상적인 문서파일이 보여지는 동시에 이용자 컴퓨터의 시스템 경로에는 "ESTsoftReg.exe", "mncomun.dll", "mnkyst.dll" 등 다양한 악성파일이 은밀하게 설치된다.
 
[Trojan-Exploit/W32.Hwp_Exploit.516054]
-www.virustotal.com/ko/file/
 
현재 HWP 문서파일의 취약점을 이용한 악성파일이 끊이지 않고 발생하고 있다. 이용자들은 최신 버전으로 반드시 업데이트하도록 하고, 2013년 8월 30일 최신 보안패치가 발표된 상태이므로 최신버전으로 업데이트 해야 한다.
 
데일리시큐 호애진 기자 ajho@dailysecu.com