'한글' 설치파일 위장한 악성파일 '주의보'

최근 한컴이 제공하는 문서작성프로그램인 '한글'의 설치파일을 위장한 악성파일이 유포되고 있어 주의가 필요하다.

하우리(대표 김희천)는 10월 중순께 악성 한글 프로그램에 대한 신고를 접수한 뒤 분석을 하던 중 이 파일이 감염된 PC의 시스템 정보를 탈취하고, 연결된 서버에서 악성코드를 추가로 다운로드 한다는 사실을 확인해 대응에 나섰다고 3일 밝혔다.

악성파일들은 정상적인 파일 진입점(OEP)을 변경해 악성코드 진입점(New EP)이 우선 실행되도록 변조됐다. 정상적으로 한글 파일을 실행하고 사용하는데 지장이 없으나 백그라운드로 악성행위를 수행하도록 제작됐다.

변조된 악성 한글 프로그램 파일은 악성코드의 은닉이 쉽고 탐지가 어렵기 때문에 장시간 잠복해 악성행위를 수행할 수 있다. 특히 한글 프로그램은 국가기관이나 공공기관에서 많이 사용하기 때문에 감염시 기밀문서나 중요 시스템 정보들이 유출될 수 있다.

하우리는 변조된 한글 프로그램 파일을 분석하던 중 해당 악성코드와 유사한 변종 악성코드가 추가로 수집돼 자사 백신인 바이로봇에 대해 긴급 보안 업데이트를 진행했고, 악성코드 제작자가 동일한 유형의 변종 악성코드를 다수 배포하고 있는 정황을 파악할 수 있었다고 밝혔다.

또한 한글 프로그램 뿐만 아니라 다른 프로그램도 변조의 대상이 될 수 있으므로 이를 예의주시하고 있으며 사용자와 관리자의 주의가 요구된다.

관련기사

하우리 CERT실은 "최근 치명적인 악성코드들이 웹이나 메일을 통해서 대량 유포되고 있어 엔드포인트 보안 강화가 중요시 된다"며 "PC 사용자들의 상시적인 보안교육 및 보안의식을 고취시키고 각종 취약점의 최신 보안패치와 대응 솔루션을 마련하는 것이 중요하다"고 강조했다.

현재 해당 악성파일의 유포지 및 경유지는 한국인터넷진흥원(KISA)과 공조해 모두 차단된 상태다.