한글 HWP 파일로 위장한 악성파일 급증

한글 HWP 문서파일의 보안취약점을 노린 악성파일 변종이 급증해 주의가 필요하다.

 

잉카인터넷(대표 주영흠)은 20일 ISARC 대응팀을 통해 올해만 HWP 문서파일을 노린 보안취약점 100여개가 발견됐으며 지난 19일에도 2가지 악성파일이 추가로 발견돼 사용자들에게 각별한 주의를 요청했다.

 

새로 발견된 악성파일 2종은 중소기업청의 신제품 개발사업 및 해외수요처 연계 기술개발사업 과제 모집 공고문, 2013년 대구 세계 에너지 총회와 관련된 문서 등으로 위장하고 있었다. 

 

해당 HWP 악성파일을 실행하면 정상적인 문서파일이 실행되는 한편, 사용자로 하여금 악성파일로 의심받지 않도록 한다. 악의적인 HWP 파일은 정상적인 문서를 보여주는 동시에 또 다른 악성파일을 사용자 몰래 추가 설치한다. 이는 시작프로그램 경로에 마치 어도브 관련 파일처럼 위장해 'AdobeARM.exe'라는 이름의 파일을 생성한다.

 

또한 국내 포털사의 웹메일 서비스 도메인과 유사하게 위장해 외부의 원격 호스트로 몰래 접속해 공격자의 추가적인 명령에 따라 다양한 정보 유출 및 추가 악성파일 감염, 원격제어 등의 다양한 피해가 발생할 수 있다.

 

 

 

▲ HWP파일로 위장한 파일을 실행하면 "AdobeARM.exe"라는 파일을 생성해 추가적인 공격을 일으킴

 

 

 

 

잉카인터넷 ISARC 대응팀 문종현 팀장은 "HWP문서파일은 한국의 기업, 학교, 정부기관 등에서 주로 많이 이용되고 있다는 점에서 국지적 표적형 공격에 은밀하게 사용되고 있는 상황"이라며 "현재 HWP 문서파일의 취약점을 이용한 악성파일이 끊이지 않고 발생하고 있다"고 밝혔다.

 

문 팀장은 "이용자들이 최신 버전으로 반드시 업데이트하도록 하고, 간혹 보안패치가 제공되지 않는 제로데이 공격도 보고되고 있으므로 의심스러운 파일에 노출되지 않도록 주의해야한다"고 강조했다.

 

 

===========================================================================================================================

 

 

HWP파일 및 EXCEL파일 등 우리의 사용 빈도가 높은 파일들에 대해 악성코드 및 바이러스들의 삽입이 잦아졌다.

해킹은 서버뿐만 아니라 우리의 개인PC에서도 이루뤄질 수 있다는 사실을 항상 염두해두고 그에 대비할 필요가 있으므로, 메일을 통해 첨부되는 파일 또는 외부에서 다운로드하는 파일, USB를 통해 유입되는 파일들에 있어서 조심하고 백신을 통해 주기적으로 검사를 행할 필요가 있다.

 

 

 

 

-자료참조 : 지디넷코리아-