(서울=미래일보) 김정현 기자 = 한글 워드 프로세서((Hangul Word Processor, HWP) 문서 사용자를 대상으로 한 멀웨어 공격이 발견돼 주의가 요망된다.
포티넷코리아는 자사 보안연구소인 Labs)이 HWP 문서 사용자 대상 멀웨어 공격을 발견했다고 27일 밝혔다.
멀웨어한 사용자의 의사와 이익에 반해 시스템을 파괴하거나 정보를 유출하는 등 악의적 활동을 수행하도록 의도적으로 제작된 소프트웨어다.
포티넷에 따르면 이번 공격은 이미 알려진 CVE-2015-2545 Encapsulated PostScript(EPS) 취약성을 사용하는 한글 워드 프로세서(Hangul Word Processor, HWP) 문서였다.
현재 HWP는 우리나라 정부 기관에서 많이 사용되며, 한국어 사용자를 스피어 피싱 대상으로 삼았다. 악성 문서 내용은 한국의 원전 및 노동 정책 등의 정치적 이슈로 사용자를 유인한 것으로 보인다.
이 공격은 추적이 어려울 뿐만 아니라, 데이터 스토리지와 통신을 제공하는 무료 클라우드 서비스인 ‘피클라우드(pCloud)’를 이용했으며, ‘클라우드탭(CloudTap)’이라는 멀웨어가 나타난 지 1년이 넘은 것으로 나타났다.
악성문서에는 캡슐화 된 포스트 스크립트를 숨겼으며, 문서가 실행되면 스크립트가 실행되고 페이로드가 다운된다. 그리고 피해자 단말에 저장된 기밀문서를 검색하고, 브라우저에 저장된 자격 증명을 탈취하는 것으로 보인다.
또한 이 공격은 무료 클라우드 서비스인 ‘pCloud’를 C&C 서버로 사용하며, 타깃 사용자로부터 기밀문서와 자격증명을 탈취한 후 암호화해 저장한다. 무료 클라우드를 사용하면 C&C 서버 운영 비용을 줄일 수 있을 뿐 아니라 추적을 피할 수도 있다. 또한 ‘CloudTap’이라는 악성코드를 1년 이상 사용한 것으로 분석됐다.
