국내 주요 기관을 노린 지능형지속가능위협(APT) 공격이 최근 한셀 문서 파일까지 악용하기 시작했다.
하우리(대표 김희천)는 한컴 오피스의 스프레드시트 프로그램인 한셀의 취약점을 악용해 이메일로 한셀 문서 파일(*.cell)을 첨부 파일 형태로 전달하는 유형의 공격 수법이 등장했다고 3일 밝혔다.
이 문서 파일은 특정 연구기관의 주소록 파일 이름으로 배포돼 사용자가 의심하기 힘들게 했다. 사용자가 이 파일을 열람하면 그 속에 포함된 악성코드가 설치된다. 하우리에 따르면 이는 주로 통일, 외교, 국방 관계 기관을 노려 공격이 이뤄졌다.
이 악성코드는 '사이버게이트 렛(CyberGate RAT)'이라는 원격 제어 악성코드로 사용자가 입력하는 모든 키보드 입력 내용을 가로채는 키로깅 기능, 사용자의 PC 화면을 모니터링할 수 있는 원격 화면 감시, 추가 악성코드를 전송해 실행하는 기능 및 사용자의 각종 중요 파일을 절취하는 기능 등이 포함돼 있다.
관련기사
- 온라인 게임 보안…IT기술의 재발견2013.06.03
- 사내 업무용 이메일도 악성코드 주의보2013.06.03
- 좀비PC보다 무서운 '좀비 악성코드' 주의보2013.06.03
- APT 라이프사이클로 본 전산망 마비2013.06.03
최상명 하우리 선행연구팀장은 그동안 워드, 엑셀, 파워포인트 등 MS 오피스 문서와 한글 문서 포맷을 통해 전달되는 악성코드는 자주 있었지만 최근에 새롭게 국내에서 많이 사용하는 한셀 문서 포맷의 악성코드가 등장했다고 밝혔다.
최 팀장은 이어 현재 한셀 문서 포맷에 대한 악성코드는 알려진 내용이 드물어 대부분의 보안 제품들이 해당 문서 포맷을 식별하지 못하고 있기에 이에 대한 대응이 포함된 백신 및 전용 행위기반 탐지 솔루션을 사용해야 한다고 당부했다.
