연말 대통령선거나 연봉계약서 등 사회적 관심이 많은 내용의 한글문서 파일을 위장한 악성공격이 늘고 있다. 과거에는 마이크로소프트의 오피스 파일(.pptx, .docx, .xls)이 해커들의 주요 공략 대상이었다면 이제는 악성공격이 현지화되고 있는 셈이다.
30일 안랩시큐리티대응센터(ASEC)에 따르면, 이달 발견된 악성 한글 파일만 해도 공격방식이 제각각이며 우리나라 사람들이 관심을 가질만한 이슈의 키워드를 문서파일 제목으로 삼았다. 안랩 ASEC 분석팀 장영준 선임 연구원은 작년보다 올해, 지난달 보다 이달에 특히 한글파일을 이용한 악성공격이 늘어났다고 밝혔다.
이달에 새로 발견된 악성 한글 파일의 이름은 '연봉계약서.hwp','핵심공약.hwp','한반도통일대토론회-120928.hwp','군환경교육계획(2012).hwp', '우리도 항공모함을 갖자.hwp' 등이다.
지난 24일에는 앞으로 약 두달이 채 남지 않은 18대 대통령 선거를 겨냥한 악성 한글파일이 새로 발견됐다. 안랩은 '핵심공약.hwp', '현안대응.hwp'이라는 이름의 한글 파일 2건이 국내 유명 포털 웹사이트에서 제공하는 메일 서비스의 이메일 주소를 이용해 첨부파일 형태로 배포됐다고 밝혔다.
첨부된 파일을 열면 제목처럼 대통령 후보들의 선거공약과 오픈 프라이머리 경선을 하자는 등의 일반적인 내용이 나타난다. 이들 파일은 시스템에 'svc.exe'라는 파일을 실행시켜 윈도 시스템 프로세스인 'explorer.exe', 'winlogin.exe'의 스레드에 자신들의 악성코드를 주입한다. 이를 통해 파일 다운로드, 업로드, 실행 중인 프로세스 리스트, 감염된 시스템의 IP, 프록시 서버 주소 등을 수집해 한국에 위치한 특정시스템으로 HTTP를 이용해 전송한다.
또 지난 25일에는 다른 사람의 연봉이 얼마나 될까에 대한 호기심을 유발하는 파일 이름도 발견됐다. '연봉계약서.hwp'는 지난 6월에 패치 배포 전에 발견된 제로데이 취약점을 이용해 프로세스 강제종료 기능을 수행하는 것으로 확인됐다. 대선 관련 악성파일과 마찬가지로 실행 중인 프로세스 리스트를 수집해 미국 내 특정 시스템으로 전송하는 것으로 알려졌다.
이달 15일과 16일에도 각각 '군환경교육계획(2012).hwp'와 '우리도 항공모함을 갖자.hwp'라는 이름의 악성파일이 배포됐다. 첫번째 파일은 'taskmon.exe'를 추가실행해 시스템이 재부팅되더라도 자동으로 실행되도록 했다. 원격에서 공격자가 지정한 명령을 수행하도록 좀비PC를 만드는 역할을 수행한다. 두번째는 '다음클리너', '알약' 등 보안프로그램 프로세스를 강제 종료시키는 한편 운영체제(OS) 로그인을 위한 사용자계정명과 암호를 수집해 국내 유명 포털 웹사이트에서 제공하는 이메일 서비스를 이용해 해당정보를 유출하는 것으로 나타났다.
이 달초에 발견된 '한반도통일대토론회-120928.hwp'는 윈도 자체 방화벽, 안랩 V3 인터넷 시큐리티 8.0 및 2007의 방화벽을 무력화시키고, 사용자 정보수집과 키보드 입력 가로채기 등의 기능을 수행하는 것으로 조사됐다. 이렇게 모아진 정보들은 'key.dat', 'log.dat'는 한국에서 운영되는 특정 웹하드에 접속해 지정된 공유 폴더에 업로드 된다.
이에 대해 한컴은 공개된 파일들은 대부분 보안패치를 배포한 것들이라고 밝혔다. 한컴은 지난 18일 한글2002에서부터 최신버전인 한글2010까지 보안패치를 제공하고 있다고 발표했다.
관련기사
- 독도 언급 한글파일, 악성코드 주의보2012.10.30
- 국회의원 메일 위장, 악성 한글파일 발견2012.10.30
- 안랩, 한글 취약점 이용한 악성코드 등장2012.10.30
- APT보안 공격 한글파일 침투...유명 대기업도 겨냥2012.10.30
한컴 관계자는 대부분은 패치 배포를 통해 수정이 완료된 것들이라며 국내 주요 보안회사들과 공동협력을 통해 이에 대응하고 있다고 밝혔다. 한컴은 정품사용자와 비정품 사용자들에게까지 관련 패치를 배포하고 있다고 덧붙였다.
앞으로도 한글파일을 이용한 악성 공격은 점점 더 수가 늘어날 것으로 전망된다. 장영준 연구원은 지난 2006년, 2007년도에는 온라인 게임을 겨냥한 악성파일들이 많이 유포됐으나 한글 파일 처럼 우리나라에서만 제한적으로 쓰이는 파일을 이용한 공격이 늘어나고 있는 추세라고 설명했다.