국내 사용자를 겨냥한 HWP 형태의 악성 파일이 유포되고 있어 PC방에서도 주의가 요구되고 있다.

보안전문기업 하우리(대표 김희천)는 최근 한글 문서에서 ‘자료연결’ 기능을 악용한 HWP 파일이 유포되고 있다며 사용자들의 주의를 당부했다.

이번 표적 공격에 사용된 악성 한글(HWP) 문서 파일은 ‘자료연결’ 기능 중 ‘외부 애플리케이션 문서’에 모든 파일이 지정 가능한 점과 OLE 개체삽입 시 개체가 임시폴더에 생성되는 점을 악용한 것으로 알려졌다.

배포된 파일에는 한글의 OLE 개체삽입 기능을 사용한 악성 스크립트(VBScript)가 삽입되어 있다. 사용자가 한글 문서를 열람하면 삽입된 악성 스크립트는 임시폴더에 생성되며, ‘자료연결’이 설정된 본문을 클릭할 경우 해당 스크립트가 실행되어 동작한다.

동작한 악성 스크립트는 특정 경로에 악성코드를 생성하고 실행한다. 최종 악성코드는 윈도우 명령 처리기(CMD.EXE)에 인젝션되어 동작하며, 감염 PC의 정보를 수집하는 등 백도어 행위를 수행한다. 해당 한글 문서는 인터넷 익스플로러 브라우저를 이용해 이메일에 첨부된 문서를 실행할 경우에만 악성 스크립트가 실행되도록 설계됐다.

하우리 측은 공격자가 일부 사람들이 이메일 첨부파일을 PC에 저장하지 않고 바로 실행한다는 점을 노렸으며, ‘자료연결’ 대상 파일의 상대 경로 방식에 대한 한계를 극복하려는 의도로 파악된다고 설명했다.

하우리 CERT실은 “최근 공격자들은 워드파일 DDE 취약점과 같이 프로그램의 정상 기능을 악용하고 있다”라며 “이번에 발견된 한글 문서도 마찬가지로 정상 기능을 악용했다”고 전했다. 또한 “별도의 알림창 없이 본문 클릭 한 번으로 악성코드에 감염되기 때문에 사용자가 인지하기 어렵다”라며 “앞으로 정상 기능을 악용한 악성코드 유포가 증가할 것으로 예상되기 때문에 사용자들의 각별한 주의가 필요하다”고 덧붙였다.

얼마 전 국내 사용자를 겨냥한 변종 랜섬웨어 ‘마이랜섬(Magniber, 매그니베르)’이 유포된 데 이어 추가로 국내 사용자를 겨냥한 HWP 파일이 유포돼 PC방 보안 위험도는 더욱 높아진 상태이기 때문에 PC방의 주의와 대비가 필요하다.

비단 이번 HWP 파일 뿐만 아니라 계속해서 늘어나는 PC방에 치명적인 악성코드들에 대비하기 위해서라도 최신 보안업데이트 적용과 출처가 불분명한 메일 또는 링크의 실행 주의, 그리고 중요한 자료의 백업 등 보안 안전 수칙을 생활화하는 것이 필요하다.