한글 HWP 문서파일의 보안취약점을 노린 악성파일 변종이 급증해 주의가 필요하다.
잉카인터넷(대표 주영흠)은 20일 ISARC 대응팀을 통해 올해만 HWP 문서파일을 노린 보안취약점 100여개가 발견됐으며 지난 19일에도 2가지 악성파일이 추가로 발견돼 사용자들에게 각별한 주의를 요청했다.
새로 발견된 악성파일 2종은 중소기업청의 신제품 개발사업 및 해외수요처 연계 기술개발사업 과제 모집 공고문, 2013년 대구 세계 에너지 총회와 관련된 문서 등으로 위장하고 있었다.
해당 HWP 악성파일을 실행하면 정상적인 문서파일이 실행되는 한편, 사용자로 하여금 악성파일로 의심받지 않도록 한다. 악의적인 HWP 파일은 정상적인 문서를 보여주는 동시에 또 다른 악성파일을 사용자 몰래 추가 설치한다. 이는 시작프로그램 경로에 마치 어도브 관련 파일처럼 위장해 'AdobeARM.exe'라는 이름의 파일을 생성한다.
또한 국내 포털사의 웹메일 서비스 도메인과 유사하게 위장해 외부의 원격 호스트로 몰래 접속해 공격자의 추가적인 명령에 따라 다양한 정보 유출 및 추가 악성파일 감염, 원격제어 등의 다양한 피해가 발생할 수 있다.
관련기사
- 안랩, 아래아한글 악성코드 발견 '주의'2012.11.20
- 대선·연봉계약서 등 한글 hwp 악성파일 성행2012.11.20
- 독도 언급 한글파일, 악성코드 주의보2012.11.20
- 안랩, 한글 취약점 이용한 악성코드 등장2012.11.20
잉카인터넷 ISARC 대응팀 문종현 팀장은 HWP문서파일은 한국의 기업, 학교, 정부기관 등에서 주로 많이 이용되고 있다는 점에서 국지적 표적형 공격에 은밀하게 사용되고 있는 상황이라며 현재 HWP 문서파일의 취약점을 이용한 악성파일이 끊이지 않고 발생하고 있다고 밝혔다.
문 팀장은 이용자들이 최신 버전으로 반드시 업데이트하도록 하고, 간혹 보안패치가 제공되지 않는 제로데이 공격도 보고되고 있으므로 의심스러운 파일에 노출되지 않도록 주의해야한다고 강조했다.
