HWP 문서취약점 악성파일 '주의보'

[김국배기자] HWP 문서파일의 취약점을 이용한 악성파일이 새롭게 발견돼 사용자들의 주의가 요구된다.

20일 잉카인터넷(대표 주영흠)에 따르면 올해초부터 지금까지 한글과컴퓨터의 HWP 문서파일의 취약점을 이용한 악성파일이 약 100여 개 발견된 데 더해 지난 19일 2가지 형태의 악성파일이 추가로 발견됐다.

이번에 발견된 악성파일은 중소기업청의 신제품 개발사업 및 해외수요처 연계 기술개발사업 과제 모집 공고문으로 위장한 형태와 2013년 대구 세계 에너지 총회와 관련된 문서이다.

해당 HWP 악성파일을 실행할 경우 정상적인 문서파일을 별도로 실행해 사용자로 하여금 악성파일로 의심하지 않도록 한다. 그러나 악의적인 HWP 파일은 정상적인 문서를 보여주는 동시에 또 다른 악성파일을 사용자 몰래 추가 설치한다. 악성파일은 시작프로그램 경로에 마치 어도브 관련 파일처럼 위장한 'AdobeARM.exe' 이름으로 생성된다.

또한 국내 포털사의 웹메일 서비스 도메인과 유사하게 위장한 외부의 원격 호스트로 몰래 접속해 공격자의 추가적인 명령에 따라 다양한 정보 유출과 추가 악성파일 감염, 원격제어 등의 피해를 일으킬 수 있다.

잉카인터넷 문종현 ISARC 대응팀장은 "HWP문서파일은 한국의 기업, 학교, 정부기관 등에서 주로 많이 이용되고 있다는 점에서 국지적 표적형 공격에 은밀하게 사용되고 있는 상황"이라며 "이용자들은 최신 버전으로 반드시 업데이트를 하고 의심스러운 파일에 노출되지 않도록 각별한 주의가 필요한 상태이다"라고 말했다.