지난 ‘통일정책 토론회’ 문서와 매우 흡사해 동일제작자 의심 

[보안뉴스 권 준] 제로데이 취약점을 이용한 악성 한글문서가 또 다시 발견되어 PC 사용자들의 각별한 주의가 요구된다.

보안전문기업 하우리(대표 김희천)에 따르면 해당 문서는 ‘북핵해결 3대 전략(Strategic Triad)’, ‘삼위일체의 북핵전략(Strategic Trinity)’이라는 제목으로 시작하며, 한글 제로데이 취약점을 이용하여 제작되었기 때문에 최신 패치된 한글 버전에서도 동작해 문서를 열람하는 순간 모든 한글 사용자가 감염되는 것으로 알려졌다. 

이와 관련 하우리 보안대응센터 김정수 센터장은 “해당 문서의 내용으로 보아 정확한 타깃은 알 수 없지만, 정부부처 또는 핵과 관련된 원자력 연구기관 및 원자력 발전소 등이 타깃이 될 수 있다”고 밝혔다.

덧붙여 그는 “만약 이러한 분석이 정확하다면 드라마 ‘유령’과 같은 최악의 시나리오가 발생될 수도 있다. 이 악성코드는 지난 15일 발견된 ‘2012년 통일정책 토론회.hwp’와 매우 흡사한 형태를 띠고 있어 동일한 제작자가 만든 악성코드이며, 이는 북한 해커의 소행일 가능성이 높다”며, “보안패치가 되지 않은 이상 해당 취약점을 이용한 악성코드는 지속적으로 발견될 것”이라고 말했다.

해커들이 APT(Advanced Persistent Threat) 공격을 시도할 때는 업무나 회의관련 내용, 자극적인 내용, 호기심을 유발하는 내용 등 지능적인 방법을 동원하기 때문에 99%는 공격에 성공한다는 게 하우리 측의 설명이다.

더욱이 제로데이 취약점을 이용한다면 성공률은 높아지고, 백신 프로그램이 진단하지 못하는 악성코드라면 100% 성공이 가능하기 때문에 더욱더 위협적이고 위험성이 높다는 것. 감염된 시스템은 해커에게 접속된 후 시스템 정보 및 개인정보는 물론 기업의 기밀문서나 중요 정보들이 탈취되며, 최종적으로 시스템의 파괴까지 유발할 수 있다.

해당 한글 제로데이 취약점은 아직 보안패치가 되지 않았기 때문에 이 취약점을 이용한 악성코드의 지속적인 변형 공격이 예상된다고 하우리 측은 밝혔다. 

한편, 하우리는 한글, Doc 문서에 삽입된 악성코드를 효과적으로 탐지 및 차단하기 위해 최근 개발한 APT Shield for Document의 출시를 앞두고 있는데, 해당 악성 한글문서도 탐지 및 차단되는 것으로 확인됐다고 밝혔다.

[권 준 기자(editor@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>