"국내 통일·대북 연구기관 노린 악성HWP파일 공격 주의"

컴퓨팅입력 :2016/09/09 18:14

국내 특정 기관과 기업 소속 개인을 겨냥한 한글워드(HWP)파일 기반 악성코드 공격이 발생해, 해당 조직의 주의가 요구된다.

이스트소프트(대표 정상원)는 지난 8월부터 최근까지 국내 연구기관, 대북 통일 관련 업무 종사자를 표적으로 삼은 '스피어피싱' 공격이 잇따라, 피해 방지를 위해 유관기관들과 함께 긴밀한 대응 상태를 유지하고 있다고 9일 밝혔다.

해당 공격은 표적 인물이 사용하는 메일 계정에 악성코드가 담긴 HWP파일을 첨부, 업무 메일로 위장해 보내는 형태로 시작된다. 표적 인물이 수신된 메일의 첨부 문서를 열어 볼 경우, 눈치채지 못하는 사이에 실제 피해로 이어질 수 있다. 공격 과정이 국가기관이나 주요 기업 내부 기밀정보를 탈취하려는 맞춤형 수법으로 은밀하게 수행되는 특징을 띤다고 회사측은 설명했다.

스피어피싱 공격 및 정보 탈취 흐름도 [자료=이스트소프트]

공격 과정은 이렇다. 표적 인물이 수신된 첨부 문서 파일을 열어 보면 내용은 정상적으로 표시되나, 당사자 모르게 공격자가 만들어 둔 해외 특정 서버에 접속해 이미지(JPG)파일로 위장된 또 다른 악성 프로그램을 PC에 내려받는다. 이 악성 프로그램은 다시 암호화된 악성 파일을 추가 다운로드해 PC를 감염시킨다. 감염 PC 정보는 해외 서버로 전송되고, 이후 원격제어 방식으로 추가 명령을 받는 피해에 노출된다.

관련기사

실제 공격에 이용된 한글문서(HWP) 파일 열람 화면[자료=이스트소프트]

이스트소프트의 백신프로그램 알약은 이번 공격에 사용된 HWP문서의 악성코드를 'Exploit.HWP.Agent' 등으로 탐지하고 있다. 회사측은 이런 '스피어피싱' 공격 피해를 예방하기 위한 보안 수칙으로 ▲출처를 알 수 없는 이메일 첨부 파일 열람을 지양하고, 미리보기 기능을 이용해서 문서를 확인 ▲사용중인 문서작성 프로그램의 보안업데이트를 최신으로 유지 ▲신뢰할 수 있는 백신을 사용하며 해당 탐지 DB를 최신으로 유지 등 3가지를 제시했다.

김준섭 이스트소프트 보안사업본부장은 "국가기관이나 연구소 등을 대상으로 하는 표적형 스피어피싱 공격이 갈수록 지능화되고 있다"며 "출처가 불분명한 이메일의 첨부파일을 함부로 열어보지 않는 등 내부자의 보안 수칙 준수가 매우 중요하다"고 말했다.