2022-05-24 01:45 (화)
문서 프로그램 취약점 악용 악성코드 유포 계속…주의!
상태바
문서 프로그램 취약점 악용 악성코드 유포 계속…주의!
  • 길민권
  • 승인 2012.11.03 08:38
이 기사를 공유합니다

국내 대선, 연봉계약서, 국방문서 사칭 악성코드 연이어 발견
보안 기업 안랩(대표 김홍선 www.ahnlab.com)은 현재 진행 중인국내 대선 이슈와 연봉협상, 국방 문서 등 최근 사람들의 이목이 집중되고 있는 이슈를 가장한 문서파일 형태로 악성코드가 유포되고 있다며 사용자의 주의를 당부했다.
  
안랩의 시큐리티대응센터(ASEC)은 올 10월 들어 시기에 맞는 다양한 이슈를 가장한 악성문서가 연달아 발견 됐다고 발표했다. 악성코드 제작자는 공통적으로 사람들의 관심을 끌 만한 이슈로 악성코드가 포함된 문서파일을 열도록 유도하고, 문서 편집 프로그램의 취약점을 이용해 악성코드 배포를 시도했다.
 
먼저 가장 최근인 10월 26일에는 연봉계약서로 위장한 악성 문서파일이 발견됐다. 해당 문서는 일반 기업에서 많이 사용하는 근로계약서의 형태로 메일에 첨부되어 있었다. 첨부된 악성문서는 2012년 6월에 발견된 제로데이(0-Day) 취약점을 악용했다. 한글 파일이 열리게 되면, 사용자 모르게 백그라운드로 연속으로 두 가지의 악성코드를 설치한다. 최종적으로 설치된 악성코드는 감염된 PC의 실행 중인 프로그램 및 프로세스의 리스트 수집, 파일 다운로드 및 업로드/실행, 프로세스 강제 종료 등의 악의적 기능을 수행한다.
  
10월 24일에는 최근 진행되고 있는 18대 대통령 선거 관련 내용을 위장한 악성 문서파일을 포함한 메일이 두 건 발견됐다. 첫 번째 악성메일은 “핵심공약"이라는 제목으로 동일한 제목의 악성파일을 포함하고 있었으며, 두 번째 악성메일은 “현안대응"이라는 제목으로 역시 같은 제목의 악성파일을 첨부형태로 포함하고 있었다.
 
두 악성파일은 각각 대통령 후보들의 공약과 정치현안에 대한 내용을 문서 형태로 보여주고 있으며, 동일한 취약점을 이용한다. 두 문서 파일들을 열면 모두 공통적으로 시스템 사용자 모르게 악성코드를 설치해 최종적으로 파일 다운로드/업로드, 실행 중인 프로세스 리스트 수집, 감염된 시스템 IP와 프록시서버 주소 수집, 윈도우 사용자 계정명 수집, 감염된 시스템의 윈도우 버전과 언어 정보 수집 등의 주요 악성기능를 실행한다.
  
10월 중순에는 "군환경교육계획(2012)"와 "우리도 항공모함을 갖자"의 제목을 가진 악성 문서파일2건이 발견되었다. 두 파일 모두 실행 시 제목에 따른 국방관련 내용을 사용자에게 보여주지만 실제로는 이미 알려진 문서 프로그램의 취약점을 이용해 악성코드를 사용자 모르게 설치한다. 설치된 악성코드는 감염된 시스템의 윈도우 운영체제 정보 및 사용자계정 정보 수집, 원격으로 공격자 명령 실행 등 악성 기능을 실행하고 백신 프로세스가 작동 시에는 강제종료를 시도하기도 했다.
 
V3에서는 해당 악성코드를 모두 진단 및 치료하고 있으며, APT 전문 대응 솔루션인 트러스와쳐(TrusWatcher)도 시그니처 없이 탐지하고 있다. 현재 해당 문서 소프트웨어 제공업체에서 보안패치를 배포하고 있으며, 이를 설치하는 것이 근본적인 해결책이라고 안랩은 밝혔다.
  
안랩 시큐리티대응센터 이호웅센터장은 “최근 exe등의 실행파일보다 사람들이 상대적으로 의심을 덜하는 문서파일을 이용한 공격들이 발견되고 있다. 또한 내용과 형식도 정상파일처럼 갖추고 있어 사용자는 자신이 공격을 당하는지 모를 가능성도 크다. 사용자는 백신을 최신으로 업데이트하고 송신자가 불분명한 수상한 메일의 첨부파일 및 링크 클릭 자제와 함께 자신이 사용하는 소프트웨어 업체가 제공하는 보안패치를 설치하는 것이 필수적이다”고 말했다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com