"군·북한·정치"…HWP 악성코드 단골소재

2012년 이후 악성코드 품은 한글문서 파일 위장 패턴

컴퓨팅입력 :2017/01/30 11:40    수정: 2017/01/30 11:40

올초 악성코드를 품은 HWP 파일이 유포됐다. 파일은 북한이나 사회적 이슈, 다수 일반인이 관심을 둘만한 내용을 다룬 정상 문서처럼 위장했다. 일반인이나 문서 내용에 관련된 업무 담당자에게 이메일 첨부 형태로 보내졌다. 파일 속 악성코드는 수신자가 호기심으로 첨부 파일을 열었을 때 PC를 감염시키고 그 정보를 빼돌리거나, 추가 악성코드를 심어 원격서버를 통해 제어할 수 있는 상태로 만들 수 있었다.

새로운 얘긴 아니다. HWP 파일 코드실행 취약점을 이용해 PC 사용자 정보를 빼돌리거나 감염 PC에 추가 악성코드를 심는 공격 수법은 한국에서 수년째 여러 차례 지속되고 있다. 주요 보안업체들은 HWP 문서를 다루는 기업과 기관의 사용자가 가능한한 최신버전 제품을 사용하고 최신 보안 업데이트를 적용해야 한다고 조언해 왔다. 한글과컴퓨터는 HWP 문서를 다루는 워드프로세서 소프트웨어 '한컴오피스 워드' 또는 '아래아한글' 제작사로서 새로운 취약점을 악용한 사례가 발생할 때마다 보안 패치와 업데이트를 제공해 대응하고 있다.

[☞관련기사: 한글2014서 액티브X 제로데이 취약점 발견]

[☞관련기사: 한컴오피스용 HWP 악성코드 패치 공개]

보안업체들을 통해 악성코드 HWP 유포 사례가 활발히 소개된 시점은 2012년과 2013년, 대통령 선거와 대선 직후 새 정부 구성 기간과 맞물린다. 2014년과 2015년에는 상대적으로 관련 사례 공개 빈도가 줄었다가 지난해 분기들어 다시 활발해지는 추세다. 앞서 보도된 사례를 시간 역순으로 정리했다.

[사진=Pixabay] 맬웨어 악성코드 유해소프트웨어 오작동 기능정지 크래싱 버그 보안결함

■2016년 이후, 북한 키워드 품은 악성메일 새해까지 이어져

지난 26일 보안전문업체 하우리는 '북한민주화와 민주주의적 전략.hwp' 파일이 유포됐다고 밝혔다. HWP 파일엔 감염PC 정보와 화면캡처 이미지 파일을 국내 한 쇼핑몰 서버로 보내고, 추가 악성코드 다운로드를 수행하는 악성코드가 담겼다.

지난 25일 경찰청 사이버안전국은 지난해 11월 유포된 '우려되는 대한민국.hwp', 지난 3일 유포된 '2017년 북한 신년사 분석.hwp' 파일 관련 수사결과를 발표했다. 문제의 파일에 열람 PC 정보를 유출하고 다른 악성코드를 추가 다운로드하는 기능이 있었다.

지난해 9월 9일 이스트소프트는 지난해 8월부터 당시까지 악성코드가 담긴 HWP 파일 첨부 이메일이 유포됐다고 밝혔다. 문서가 열리면 다른 악성코드를 내려받아 PC를 감염시킨다. PC는 이후 원격 명령을 받게 된다. 국내 연구기관, 대북 통일 관련 업무 종사자를 겨냥했다.

[☞관련기사: 북한 언급 악성 HWP파일 발견돼]

[☞관련기사: "북한발 악성메일, 5년간 공공·민간 종사자 785명 받아"]

[☞관련기사: "국내 통일·대북 연구기관 노린 악성HWP파일 공격 주의"]

■2013년, 북핵-한미관계 등 국제정세 관심 이용

지난 2013년 12월 20일 한국인터넷진흥원(KISA)은 '印 ICBM 로켓과 韓 우주항공기술.hwp', '한반도와 한미관계.hwp', '초청장.hwp' 파일이 유포되고 있다고 발표했다. 문서를 열면 키로깅 기능이 작동해 사용자가 입력한 정보와 PC 저장 자료가 외부로 빠져나간다.

지난 2013년 9월 16일 잉카인터넷은 탈북자 정보 제공을 가장한 이메일의 HWP 첨부파일에서 악성코드를 발견했다고 밝혔다. 감염된 PC는 새로운 악성코드를 내려받고 홍콩의 원격서버에 접속해 추가 명령에 조종될 수 있다. 악성코드 제작자가 같은 공격을 1년전부터 해왔다.

지난 2013년 4월 26일 안랩은 '한국의대응전략.hwp'이라는 파일명을 사용한 문서가 악성코드를 품고 유포됐다고 밝혔다. 문서는 북한 핵 개발 및 북핵 문제 해결을 위한 6자 회담, 북한 비핵화를 위한 정부 대응 전략 등 내용이 담겼다.

[☞관련기사: ICBM-한미관계 주제로한 한글 악성코드 주의]

[☞관련기사: 탈북자 정보사칭 악성 HWP파일, 1년전에도]

[☞관련기사: 조류독감·북한 관련 문서 위장 악성코드 주의보]

■2012년, 국방-통일-독도영유권 등 정치사안 관심 이용

지난 2012년 11월 26일 잉카인터넷은 '한국 공군의 위상에 대한 평가와 진단.hwp'이란 악성파일을 발견했다고 밝혔다. 한글 워드 프로세서 2010의 패치되지 않은 취약점을 이용해 다른 악성코드를 내려받고, 사용자 개인정보를 수집해 외부 유출시킨다.

지난 2012년 11월 20일엔 2가지 HWP 악성파일을 발견했다고 밝혔다. 중소기업청 신제품 개발사업 및 해외수요처 연계 기술개발사업 과제 모집 공고문, 2013년 대구 세계 에너지 총회 관련 문서로 위장했다. 정상 문서를 보여주면서 다른 악성코드로 추가 피해를 입힌다.

지난 2012년 10월 30일 안랩 시큐리티대응센터는 그달 '연봉계약서.hwp', '핵심공약.hwp', '현안대응.hwp', '한반도통일대토론회-120928.hwp', '군환경교육계획(2012).hwp', '우리도 항공모함을 갖자.hwp' 등 HWP 악성파일이 유포됐다고 밝혔다. 각각 시스템 서비스에 악성코드 삽입, 프로세스 정보 외부 전송, 보안프로그램 강제 종료 및 무력화, 사용자 계정정보 유출 등 동작을 수행한다.

지난 2012년 9월 9일 잉카인터넷은 사용자의 모든 키입력값을 저장하는 키로거 공격 악성코드를 품은 HWP 파일을 발견했다고 밝혔다. '독도 일본땅' 日, 자신만만 증거보니...황당.hwp'이 유포됐다. PC 시스템 프로세스에 키로거 동작 코드를 삽입해 홍콩소재 서버로 보낸다.

지난 2012년 7월 11일 하우리는 '민중평통자문회의.hwp'라는 첨부파일이 유포됐다고 밝혔다. 문서를 연 PC가 악성코드에 감염돼 외부로 시스템 정보를 내보내고, 특정 파일을 다운로드하며, 외부 명령제어 서버에 접속하게 된다.

지난 2012년 6월 27일 안랩은 '국방융합기술.hwp' 파일이 유포됐다고 밝혔다. 문서를 열면 사용자 계정에 임시폴더를 생성, 감염 시스템의 정보를 수집해 외부로 정보를 보내고 IP주소와 프록시서버 주소 전달을 시도한다.

[☞관련기사: '한국공군 위상' 위장한 악성 HWP파일 발견]

[☞관련기사: 한글 HWP 파일 노린 악성파일 변종 급증]

[☞관련기사: 대선·연봉계약서 등 한글 hwp 악성파일 성행]

[☞관련기사: 독도 언급 한글파일, 악성코드 주의보]

관련기사

[☞관련기사: 국회의원 메일 위장, 악성 한글파일 발견]

[☞관련기사: 안랩, 한글 취약점 이용한 악성코드 등장]