대륙 간 탄도미사일(ICBM), 우주항공기술, 한미관계, 초청장 등을 키워드로 한 악성 한글 문서들이 이메일 첨부파일 형태로 유포되고 있어 주의가 요청된다.
문서 내용이 정부 관계자나 군 관계자 등이 관심을 가질만한 내용을 담고 있는 점으로 미뤄 고위직 인사의 정보탈취를 노린 타깃형 공격으로 추정된다.
한국인터넷진흥원(KISA)은 최근 우주항공과 외교 등 사회적 이슈가 된 사안을 다룬 내용을 다룬 악성 첨부파일이 유포되고 있다고 20일 밝혔다.
해당 악성 파일은 '印 ICBM 로켓과 韓 우주항공기술.hwp', '한반도와 한미관계.hwp', '초청장.hwp' 등을 제목으로 하고 있다.
이 파일들을 실행해 문서 내용을 보면 악성코드가 설치돼 키로깅 기능이 작동, 사용자가 입력한 정보, PC에 저장한 자료가 해커에게 전송된다.
KISA는 피해 확산을 예방하기위해 인터넷서비스사업자(ISP)와 공조, 해커가 공격명령을 내리거나 정보를 수집하는 C&C서버를 차단했다.
또한 유관기관과 관련정보를 공유하고, 해당 악성코드 탐지 및 치료를 위해 백신회사들과 악성코드 샘플을 공유했다.
박상환 KISA 코드분석팀장에 따르면 이 공격은 아래아 한글에 존재하는 버퍼오버플로우 취약점을 악용했다. 해당 취약점은 PC를 구동하는 메모리를 다루는 과정에서 발생하는 오류를 이용해 악성코드를 실행한다.
관련기사
- 파일공유사이트 통한 악성코드 '맹위'2013.12.20
- '자기소개서' 악성파일 국내 기관에 유포2013.12.20
- 문서파일로 둔갑한 악성코드 공격 주의2013.12.20
- 탈북자 정보사칭 악성 HWP파일, 1년전에도2013.12.20
최근 아래아 한글을 이용한 사이버 공격 시도 중 상당수는 이미 보안패치가 발표된 취약점을 이용하고 있다. 프로그램을 최신으로 업데이트하기만 해도 피해를 예방할 수 있다.
신화수 KISA 침해사고분석단장은 최근, 사회적 이슈, 업무와 연관성이 있을만한 제목의 한글문서를 통한 사이버 공격시도가 지속되고 있다며 관심이 갈만한 제목의 이메일이나 첨부파일에 대해서는 열람 전 보안담당자에게 문의하거나, 백신으로 검사하는 등 더욱 주의해야 한다고 당부했다.