한글파일 취약점 이용한 해킹 증가...해법은?

실시간
뉴스

서비스

한글파일 취약점 이용한 해킹 증가...해법은?

디지털데일리 발행일 2018-09-21 14:42:16

홍하나

URL복사

한글파일(HWP) 취약점 이용한 '유령 꼭두각시' 공격

금감원에서 보낸 것처럼 위장한 ‘유사수신행위 위반통보.hwp’ 한글파일 본문

[디지털데일리 홍하나기자] #직장인 A 씨는 최근 한 공공기관으로부터 메일을 받았다. 자세한 사항은 파일에서 확인하라는 내용과 함께 한글파일(HWP) 파일도 첨부됐다. 평소 연락을 주고받던 공공기관이라 이 씨는 의심없이 파일을 다운로드 했다. 하지만 해당 파일은 공공기관에서 보낸 것이 아닌 해커의 해킹메일이었던 것. 이 씨의 컴퓨터는 곧 악성코드에 감염됐다.

최근 한글파일의 취약점을 이용한 공격이 증가하고 있다. 주로 정부기관을 사칭하거나 개인들이 작성한 문서처럼 위장된 경우가 많다. 이러한 공격은 지능형보안위협(ATP)으로 일반적인 사이버 공격과 다르다. 불특정 다수가 아니라 특정 대상을 공격한다는 점에서 ‘스피어(Spear) 피싱’이라고도 한다.

이스트시큐리티는 이 사이버 공격이 한글파일의 ‘고스트스크립트(GhostScript)’ 엔진 취약점과 ‘페이로드의 원격제어 기능’과 같은 공격 특징을 토대로 한다는 점에서 작전(Operation)명을 ‘유령 꼭두각시(Ghost Puppet)’로 명명했다.

구체적으로 해커들은 유령 꼭두각시를 수행하기 위해 주로 한글 파일의 ‘고스트 스크립트’라는 엔진을 이용한다. 한컴 오피스의 정상 기능이지만 해커가 이 취약점을 찾아서 악용한 것.

문종현 이스트시큐리티 이사는 “유령 꼭두각시의 공격 방식은 주로 메일을 이용하는 것이 특징”이라면서 “악성코드가 담긴 한글파일을 업무적인 메일이나 공문처럼 만들어 메일에 첨부해 공격대상에게 보낸다”고 설명했다.

그렇다면 왜 한글파일을 이용한 것일까? 이유는 한글파일은 국산 워드프로세서로 사용처가 주로 국가 기관이기 때문. 문 이사는 “그동안 이뤄진 공격을 살펴보면 어떤 그룹이나 국가와 관계된 해커가 조직으로 해킹을 수행한 것”이라면서 “이는 국가기반, 정부기반의 사이버 작전으로 ‘사이버 첩보전’이라고 이해하면 된다”고 말했다.

이들의 목적은 특정 국가의 정보를 수집하고 자료를 빼돌리기는 것이다. 한글파일의 취약점을 이용해 컴퓨터를 감염시키면 원격제어가 가능하다. 외부에서 악의적인 행위가 가능하다는 의미에서 작전명 '유령 꼭두각시'와 일맥상통한다.

이스트시큐리티는 이 해커들에 대해 '정부의 후원을 받는 해커조직'이라 설명했다. 문 이사는 “정부의 후원을 받는 해커 그룹이 수행한 사이버 작전의 하나”라면서 “이들이 길게는 10년 이상 사이버 해킹을 하다보니 그 흔적이 남게 된다”고 밝혔다.

이처럼 유령 꼭두각시 해킹을 예방하기 위해서는 ▲한글파일을 지속적으로 업데이트하고 ▲정품을 사용해야 한다. 문 이사는 “이 두 가지만 해도 한글파일 취약점 공격을 막을 수 있다”면서 “쉬우면서 중요한 것인데 잘 안되고 있다. 특히 정품을 사용하지 않을 경우 업데이트가 안되기 때문에 정품을 사용해야 한다”고 당부했다.

<홍하나 기자>hhn0626@ddaily.co.kr