한글, 악성코드로 얼룩지다…감염의 온상

"캠코더 통해 PC사용자 모습 전송시킬 수도"

정상적인 한글파일로 위장한 악성코드가 첨부된 한글파일

아주경제 장윤정 기자= '한글(HWP)' 파일이 악성코드 감염의 온상으로 지목되고 있다.

최근 한글과컴퓨터의 문서 프로그램 ‘한글(hwp)’의 취약점을 이용한 사이버공격이 기승을 부리고 있다. 특히 근래에 발견되는 공격은 방식이 교묘해 감염 확률이 높다는 지적이다.

한글파일은 국내에서만 사용하는 소프트웨어로 특히 공공기관과 학교, 기관에서 주로 사용되고 있기 때문에 국가기관을 노린 타깃형 공격에 주로 사용된다.

한글날을 앞두고 인터넷세상의 한글 악성코드 감염 실태를 진단한다.

악성코드를 숨긴 아래한글 파일은 사용자의 관심을 끌만한 내용으로 위장, 정상적인 한글파일로 보이기 때문에 자칫하면 감염될 수 있어 주의해야한다

◆악성 HWP 문서파일, '당신을 노린다'

지난달 12일 카스퍼스키랩, 하우리 등 국내외 보안업체들은 북한이 수년간 국내 주요 국방관련 기관을 대상으로 사이버 첩보활동을 수행하고 있었다는 정황이 드러났다고 밝혔다. 북한이 세종연구소, 한국국방연구원(KIDA), 통일부, 현대상선, 통일생각 등 대한민국의 주요 기관을 대상으로 사이버 첩보활동을 펼치는데 사용된 도구는 바로 ‘한글파일 취약성’이었다.

북한을 포함한 사이버테러 집단은 악성코드 감염을 위해 주로 한글 문서 취약점을 이용, 공격 대상자의 이메일로 한글 문서를 첨부파일 형태로 전달한다. 첨부파일을 열면 악성코드에 감염돼 현재 PC의 작업 내용을 그대로 해커에게 전송하거나 하드디스크에 있는 주요 기밀자료, 연락처, 계정정보 등이 탈취되는 것은 물론 추가로 악성코드를 다운로드 받아 실행시킬 수도 있다.

악성코드에 감염돼 캠코더를 통해 해커에게 PC사용자의 모습을 실시간으로 전송시킬 수도 있다.

잉카인터넷도 대북 관련 단체에서 한글 악성파일을 이용해 1년 넘게 공격해 온 정황을 포착했다고 밝혔다.

발견된 한글을 이용한 악성파일 형태는 다양하다. ‘외교정책 내용으로 사칭한 악성 HWP 문서파일’ ‘한국전쟁 정전 60주년 평화를 묻다’‘북한의 회담전략과 의도’‘박근혜 의 외교정책’ 등이다. 국내 정부기관 담당자들이 궁금해 할만한 내용과 제목으로 유혹하는 한글 파일이 이메일 첨부파일로 함께 온다.

한글 악성코드를 숨긴 한글HWP 문서

◆은밀한 한글파일의 유혹,‘감염되면 몽땅 털려’

해당 악성파일이 정상적으로 실행되면 정상적인 문서파일을 보여줘 이용자로 하여금 최대한 의심하지 않도록 위장되어 있다. 이는 대부분 한글 문서형 악성파일이 사용하는 은폐기법 중 하나다.

문종현 잉카인터넷 팀장은 “HWP 파일은 한국인들이 많이 쓰는 프로그램이고 기관, 공기업, 학교 등에서 주로 사용하기 때문에 국내 이용자를 타깃으로 삼아서 꾸준히 공격의 대상이 된다”며 “취약점에 노출되는 순간 어떤 악성코드가 다운로드될지 알 수 없는 가운데 엄청난 피해를 입을 수도 있으니 사용자들의 세심한 주의가 필요하다”고 말했다.

김정수 하우리 보안대응센터장은 “한글 문서의 취약점을 이용한 최근의 공격이 워낙 정교해 감염 가능성이 매우 높다”며“목표 기관의 메일 정보를 습득한 뒤에 업무와 관련된 내용으로 보내기 때문에 의심 없이 첨부파일을 열어볼 확률이 99%에 이를 것으로 추정된다”고 말했다.

한글 악성파일에 감염된 기관이나 기업에서 외부에 감염 사실을 발표하지 않는 경우가 많아 알려진 것보다 훨씬 많은 감염 사례가 존재할 것이라고 관련 전문가들은 추측한다. 특히 은밀하게 감염되는 한글악성파일은 감염되어도 정상적인 한글 파일을 열람했다고 생각하게 위장돼 있어 감염된 사실 조차 모르는 경우도 많다.

감염을 막기 위해서는 아래한글 최신 패치를 주기적으로 다운받아 취약성을 없애는 방법이 최선이다. 또 출처가 불분명한 메일, 낯선 사람에게서 온 메일일 경우 가급적 첨부파일 클릭을 삼가하는 것이 좋다.

악성파일을 숨긴 한글문서는 정상적인 한글파일을 위장해 전달되는 것이 특징이다,

김준섭 이스트소프트 보안소프트웨어사업부 본부장은 “아래한글 파일을 불법으로 인터넷에서 내려받아 사용하는 경우 패치를 제공받을 수 없기 때문에 취약성을 제거하기 위해서는 기본적으로 정품을 사용하는 것이 중요하다”고 강조했다.

또 그는 “간혹 귀찮다며 한글 프로그램의 설정을 변경해 패치가 다운되지 않도록 해두는 사용자가 있는데 매우 위험하다. 한글 파일을 최신 버전으로 유지하고 신뢰할 수 있는 백신 등을 함께 사용해 PC 취약성을 제거해야한다”고 말했다.

김귀남 경기대학교 융합보안학과 학과장은 “HWP 악성코드에 의한 실제 공격 시도건수는 보안업체에서 확인된 건수의 몇 십 배 이상이며, 지금도 악성코드에 감염되어 기밀정보 및 중요 자료가 탈취되고 있을지도 모른다”고 말했다. 이어 그는 “이제 국가기관을 비롯, 민∙관 기관 및 기업에서도 해킹사실을 은폐하기 보다는 제2의 피해 방지를 위한 전력적 방어와 전략적 대응이 필요한 시기”라고 강조했다.