최근 한글(.hwp) 파일로 위장한 악성 파일이 잇따라 유포되고 있다. 한글 파일을 이용한 공격은 대부분 특정 기관이나 사용자를 노린 타깃형 공격이라는 점에서 더욱 각별한 주의가 요구된다. 최신 악성 한글 파일들을 중심으로 주요 공격 동향을 살펴본다.

암호 설정한 한글 파일 이용 공격 증가 추세

암호가 설정된 악성 한글(.hwp) 파일을 이용한 공격이 증가하고 있다. 악성 한글 파일을 첨부한 이메일의 수신자가 이메일 내에 기입된 암호를 이용해 해당 파일을 열면 악성 기능이 실행된다.

암호가 설정된 문서 파일을 이용한 공격은 예전부터 존재했지만 올해 들어서 그 빈도가 늘었다는 것은 눈여겨볼 필요가 있다.

[표 1] 2019년 유포된 암호 설정 문서 파일

공격자들이 악성 문서 파일에 암호를 설정하는 이유는 암호에 따라 전통적인 방식의 안티바이러스 제품의 탐지를 간혹 우회할 수 있기 때문이다. 그러나 행위 기반 기술이 적용된 안티바이러스 제품이라면 사용자가 암호를 입력하여 해당 파일이 악성 행위를 시작할 때 탐지할 수 있다.

[그림 1]은 지난 11월 5일 확인된 악성 포스트스크립트 파일(PS 또는 EPS 파일)을 이용하는 한글 파일로, 암호가 설정되어 있었다. 행위 기반 기술 등 MDP 엔진이 탑재된 안랩의 V3 제품은 암호가 입력되어 실행되는 즉시 해당 파일을 탐지 및 차단했다([그림 1] 참고).

[그림 1] 암호 설정된 악성 한글 파일 탐지

악성 EPS 파일 이용한 한글 파일 공격 여전

한컴오피스 프로그램의 EPS(Encapsulated PostScript) 취약점을 이용하는 악성 파일 공격도 여전히 계속되고 있다. [그림 2]는 11월 초에 확인된 악성 한글 파일로, 문서 내부에 존재하는 EPS 개체가 악성기능을 수행하는 구조다. [그림 1]의 오른쪽에 확대된 내용 중 빨간색으로 표시한 부분이 악성 EPS 파일이 존재하는 위치로, 사용자가 봤을 때는 알아차릴 수 없는 형태로 그림 개체가 추가되어 있다.

[그림 2] 악성 EPS 파일 개체가 삽입된 한글 파일

11월에 유포된 '한국국가정보학회 학회장 선거공고'라는 이름의 악성 한글 파일([그림 2]) 외에도 지난 10월 24일에는 ‘미국 라스베가스 CES 2020 참관단 참가신청서’, 10월 16일에는 ‘전문가 자문 요청사항(한미동맹과 한중관계)’ 등의 이름으로 악성 EPS 파일이 삽입된 악성 한글 파일이 잇따라 유포되었다.

EPS(Encapsulated PostScript) 파일은 포스트스크립트(PostScript) 프로그래밍 언어를 이용하여 그래픽 이미지를 생성하는 일종의 그래픽 파일로, 그 자체는 악성 파일이 아니다. EPS를 이용해 각종 고화질 벡터 이미지를 표현할 수 있기 때문에 한컴오피스에서는 문서에 EPS 이미지를 포함하거나 볼 수 있는 기능을 제공하고 있다. 그러나 공격자가 EPS 파일의 취약점을 이용해 악의적인 EPS 파일을 만들어 한글 문서에 삽입해 공격에 이용하고 있는 것이다.

현재 V3 제품군에서는 악성 EPS 파일을 이용한 최신 악성 한글 파일을 다음과 같은 진단명으로 탐지하고 있다.

<V3 제품군 진단명>

VBS/Downloader

BinImage/Agent

HWP/Dropper

EPS/Exploit.S1 ~ EPS/Exploit.S8

EPS/Exploit

HWP/Exploit

Malware/MDP.Behavior.M2006

Malware/MDP.Behavior.M2037

Malware/MDP.Behavior.M2411

최근 유포되고 있는 악성 한글 파일의 피해를 예방하기 위해서는 발신자가 불분명한 이메일의 첨부 파일은 열어보지 않도록 유의해야 하며, 한컴오피스 프로그램의 최신 보안 패치를 반드시 적용해야 한다.

최신 악성 한글 파일에 관한 더 많은 내용은 안랩 시큐리티대응센터(AhnLab Security Emergency response Center, ASEC) 블로그에서 확인할 수 있다.