한글 HWP 문서파일을 악용한 새로운 악성파일이 발견됐다. 아직 보안패치가 이뤄지지 않은 제로데이 취약점을 이용했다는 점에서 기존보다 많은 추가 피해가 예상된다.
잉카인터넷(대표 주영흠) ISARC대응팀은 '한국 공군의 위상에 대한 평가와 진단'이라는 제목으로 위장한 악성 한글 HWP 문서파일을 발견했다고 26일 밝혔다. 이 파일은 또 다른 악성파일을 사용자 PC에 몰래설치하기도 했다.
이 악성 HWP 문서파일을 실행하면 또 다른 악성파일이 자신의 컴퓨터에 설치되고, 사용자의 개인정보를 수집해 구글의 지메일을 통해 외부로 유출을 시도한다.
또한 해당 악성파일은 마치 한컴 컨트롤 파일처럼 보이도록 하기 위해서 파일명을 'HncCtrl.exe'라는 이름으로 위장했다.
관련기사
- 한글 HWP 파일 노린 악성파일 변종 급증2012.11.26
- MS 'HWP 지원', 한컴오피스 없어도 될까2012.11.26
- MS 오피스, 한글문서 HWP 읽고 쓴다2012.11.26
- 한컴 "안드로이드 HWP 편집 OK"2012.11.26
잉카인터넷은 HWP 문서 취약점을 악용한 악성파일 표적공격은 지속적으로 발생하고 있었으며 해당 프로그램은 한국의 기업, 학교, 정부기관 등에서 주로 많이 이용되고 있다고 밝혔다. 특히 HWP 파일은 특정 기업이나 정부기관 등을 겨냥한 은밀한 표적공격에 자주 활용되며, 새로 발견된 공격은 'HWP 2010' 버전의 제로데이 취약점을 이용했다는 점에서 피해가 심각할 것으로 우려된다.
잉카인터넷 ISARC 대응팀 문종현팀장은 최근 연이어 HWP 문서 취약점을 악용한 악성파일 표적공격이 지속적으로 발생하고 있고, 지난 11월 26일 현재 제로데이 취약점 공격 기능을 가진 악성파일이 발견된 상태이므로, 신뢰하기 어려운 조건의 HWP 문서파일을 실행하지 않도록 세심한 주의가 필요하다고 강조했다.