[보안뉴스 호애진] 잉카인터넷(대표 주영흠)은 ISARC 대응팀을 통해 도움말(HLP)파일로 위장된 국가안보전략 내용의 APT 공격이 발견됐다고 14일 밝혔다.

이번에 발견된 ‘국가안보전략 개요.hlp’ 파일명의 악성파일은 Windows 도움말 파일 형식(HLP)으로 만들어져 있으며, 북한의 대남 위협과 우리의 안보태세와 관련된 내용으로 구성된 본문을 포함하고 있다.

최근 이와 같이 도움말 파일(HLP)을 이용하는 악성파일이 꾸준히 발견되고 있으며, 해당 취약점 파일 등에 의해서 또 다른 악성파일이 사용자 컴퓨터에 몰래 설치되는 과정을 거치게 된다.

즉, 국가안보전략 개요.hlp 파일이 실행되면 아래와 같이 정상적인 문서내용이 보여 지며, 아무런 경고메시지 없이 추가적인 악성파일이 자신의 컴퓨터에 몰래 설치되고, 이러한 악성파일들에 노출될 경우 외부의 악의적인 추가 명령을 통해서 다양한 정보 유출 혹은 좀비PC 등으로 전락해 DDoS 공격용 에이전트 △추가 악성파일 경유지 서버 △APT 공격용 2차 전초기지 등으로 악용될 수 있다.

일반적으로 널리 알려져 있는 문서파일(DOC, PDF, HWP, XLS, PPT 등)의 취약점을 이용한 악성파일은 꾸준하게 등장하고 있었으나, 일반인들에게 다소 생소한 도움말 파일(HLP)의 취약점 등을 이용한 공격사례는 아무런 의심 없이 실행할 수 있어 그 피해가 더 심각할 수 있을 것으로 예상된다.

문종현 잉카인터넷 ISARC 대응팀 팀장은 “기존에 알려져 있는 공격 수법만을 방어하는 시스템만으로는 100% 안전할 수 없다는 것을 보안 관리자는 반드시 유념해야 하며, 공격자는 방어자의 기술을 분석해 역이용하고 탐지를 우회하기 위한 다양한 노력과 실험을 하고 있다는 것을 절대로 잊어서는 안된다”고 전했다.

[호애진 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>