현(現) 정부의 정책을 비판하는 내용의 문서로 위장한 악성 파일이 유포된 정황이 발견돼, 사용자의 각별한 주의가 요구된다.
이스트시큐리티는 지난 6월 문재인 정부가 선언한 ‘탈핵시대’ 정책을 비판하는 내용으로 위장했지만, 실제로는 악성 파일 설치를 목적으로 하는 한글(HWP) 문서가 유포되었다고 31일 밝혔다.
발견된 한글 문서는 ‘문재인 정부의 탈핵선언을 비판한다.hwp’라는 이름을 가졌으며, 이는 유명 언론인이 운영하는 안보 관련 블로그의 게시글 내용을 일부 편집해 제작된 것으로 확인되었다. 다만 이 파일을 열람하면 편집된 문서 내용이 보이지만, 실제로는 사용자 몰래 해킹된 것으로 추정되는 국내의 특정 웹 서버에 통신을 시도해 내부 정보 탈취 행위를 수행하는 악성 파일을 내려받는다.
이스트시큐리티 시큐리티대응센터(ESRC)의 분석 결과 문서 파일 변조에는 기존 많은 사이버 공격자들이 활용해 왔던 ▲’포스트스크립트’와 ▲’고스트스크립트’의 취약점을 활용한 것으로 나타났다.
센터 측은 “현재 특정 웹 서버를 통해 유포되던 추가 악성 파일이 삭제돼 위협이 추가적으로 확산되지 않을 것으로 보이나, 이와 유사한 공격이 계속 이어질 수 있다”라며, “공격자가 사용한 포스트, 고스트스크립트 취약점을 활용한 공격은 한컴 오피스 최신 보안 업데이트를 통해 감염을 예방할 수 있으니, 반드시 업데이트를 진행해둬야 한다”고 당부했다.
실제로 지난 8월 27일 동일인이 제작한 것으로 추정되는 ‘개성공단 재개 반대 내용’의 악성 한글 문서 파일도 어제 발견돼, 유사한 공격을 통한 보안 위협이 지속될 가능성이 큰 것으로 관측된다.
현재 이스트시큐리티는 자사의 통합 백신 알약을 통해 해당 악성 파일을 ‘Exploit.HWP.Agent’로 탐지하고 치료할 수 있도록 조치하였으며, 추가적인 피해가 발생하지 않도록 관련 정보를 한국인터넷진흥원(KISA) 등에 신속히 공유해 협력을 유지하고 있다. /mcadoo@osem.co.kr
[사진] 이스트시큐리티 제공.