윈도 운영체제(OS)에서 최근 발견된 보안 취약점을 악용해 북대서양조약기구(NATO)를 포함한 미국, 유럽 주요 조직을 공격한 사례가 발견됐다.
15일 시만텍은 일명 '샌드웜(Sandworm)'이라고 불리는 해커그룹이 '윈도 개체연결삽입(OLE) 패키지 매니저 원격 코드 실행 취약점(CVE-2014-4114)'을 악용해 외부에서 OLE 파일을 삽입 공격대상 PC에 악성코드를 설치하는 수법을 쓰고 있다며 주의를 당부했다.
![](https://image.zdnet.co.kr/2014/10/15/ggHPipVvtUw3DaHWkPKa.jpg)
시만텍에 따르면 이들은 취약점을 악용해 '블랙 에너지(Black Energy)'라는 백도어 악성코드를 공격 대상 PC에 설치한다. 취약점은 윈도비스타 서비스팩(SP)2부터 윈도 8.1 및 윈도 서버 2008, 2012에 이르기까지 모든 윈도 버전에 영향을 미치는 것으로 보고됐다.이 취약점은 윈도에서 OLE를 처리하는 방식과 관련된 것으로 프로그램 상 요청을 하지 않았는데도 외부파일을 다운로드해 실행할 수 있게 하는 방법이 악용됐다. OLE는 한 문서의 데이터를 다른 문서에 삽입하거나, 문서 링크를 다른 문서에 삽입할 수 있게 하는 MS의 자체기술이다.
시만텍에 따르면 이 공격은 목표한 개인들을 대상으로 악성코드가 담긴 파워포인트 파일(PPT)을 첨부한 스피어 피싱 이메일을 발송하는 형태로 이뤄졌다. 파워포인트 파일은 URL을 포함한 두 개의 OLE 문서를 포함하고 있는데, 만약 목표로 한 사용자가 파워포인트 파일을 열면 이 URL에 접속해 확장자가 '.exe'와 '.inf'로 구성된 두 개의 파일을 추가 다운로드하면서 해당 PC에 악성코드가 설치된다.
관련기사
- 고급호텔 무선랜 이용 시 '다크호텔' 공격 주의보2014.10.15
- ATM서 몰래 돈 뽑는 신종해킹 등장2014.10.15
- HP 이어 시만텍도 2개 회사로 분할 선언2014.10.15
- 아이클라우드 해킹 불안 노린 피싱 등장2014.10.15
이 악성코드는 정보탈취를 위해 자체적인 업데이트 기능을 가졌으며, 파워포인트 외에 워드, 엑셀 등 다른 MS 오피스 기반 파일에서도 발생할 가능성이 있다.
시만텍 SSET 총괄 윤광택 이사는 윈도 사용자 모두에게 영향을 미칠 수 있는 중대한 사안인 만큼 기업은 물론 개인 사용자들에게도 주의를 요한다며 피해를 방지하기 위해 MS의 보안 패치를 즉각 설치, 보안 소프트웨어를 최신 버전으로 업데이트, 이메일 첨부파일 확인 시 주의할 필요가 있다고 당부했다.