비트코인 정보 등 문서로 위장해 파일 조작 기능을 이용하여 악성행위

[보안뉴스 김경애 기자] ‘비트코인 정보’와 ‘사용인감계’라는 제목의 한글파일 문서로 위장한 해킹 공격이 또 다시 들끓고 있어 이용자들의 주의가 요구된다.


[이미지=한국인터넷진흥원]

트렌드마이크로에 따르면 한글과컴퓨터에서 개발한 워드프로세서 프로그램의 디지털 인쇄에 주로 사용되는 프로그래밍 언어인 포스트스크립트(PostScript)를 이용한 해킹 공격이 발견됐다.

이번 해킹 공격은 구버전 한글이 밀봉형 포스트스크립트 코드를 부적절하게 처리하는 취약점을 악용한 것으로 분석됐다. 밀봉형 포스트스크립트(EPS: Encapsulated PostScrip)는 포스트스크립트언어에서 사용되는 그래픽 파일 포맷이다.

공격자는 악성 포스트스크립트를 포함한 한글 첨부파일을 이용하여 구 버전 한글을 사용하는 시스템에 악성파일을 저장했다.

한국인터넷진흥원 침해대응단 상황관제팀은 악성 한글 첨부파일 중 일부는 ‘비트코인 정보’와 ‘사용인감계’ 문서로 위장하고 있다며 해당 공격은 PostScript는 파일 조작 기능을 이용하여 악성파일을 시작 폴더에 저장하고 사용자가 컴퓨터를 재부팅 할 때까지 기다리고, 악성 동작을 한다고 분석했다.

분석된 악성동작을 살펴보면 시작 폴더에 Javascript 파일을 실행하는 MSHTA.exe 파일의 바로 가기를 생성한다. 그런 다음 시작 폴더에 바로 가기를 생성하고 %Temp% 디렉토리의 DLL 파일을 생성한다. 이후 바로 가기는 DLL 파일을 실행하기 위해 rundll32.exe를 호출하며, 시작 폴더에서 실행 파일을 생성하게 된다.


[이미지=한국인터넷진흥원]

따라서 최신 버전의 한글(2014)은 밀봉형 포스트스크립트의 처리를 올바르게 구현해 해당 취약점이 존재하지 않으므로 2014 이전 버전 이용자는 한글 2014 이후 버전으로 업그레이드가 필요하다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>