안랩, 문서 편집 프로그램 취약점 악용 악성코드 경고

특정 학교 학생들의 인명부를 가장한 악성코드가 유포돼 사용자들의 주의가 요구된다.

8일 안랩에 따르면 최근 특정 학교의 학생들의 인명부를 가장한 문서파일 형태로 악성코드가 유포되는 것으로 확인됐다.

안랩은 “이번에 발견된 악성코드를 포함한 문서는 학생들의 이름, 주소, 전화번호 및 핸드폰 번호 등 개인정보를 담은 인명부를 위장했다”며 “이 악성문서는 해당 문서 편집 프로그램의 알려지지 않은 새로운 ‘제로데이(0-Day) 취약점’을 악용했다”고 설명했다.

‘제로데이 취약점’이란 소프트웨어 제작사에서 패치가 아직 나오지 않은 보안 취약점으로, 이 시점에서 이루어지는 공격을 ‘제로데이 공격’이라 한다.

해당 문서 파일을 열게 되면 사용자 모르게 악성코드 3종이 연쇄적으로 설치된다. 이 중 한 개는 특정 웹사이트 세 곳에서 gif 또는 jpg 확장자를 가진 파일을 다운로드 한다. 이는 악성코드 제작자가 해당 파일을 추후에 다른 기능을 하는 악성코드로 변경해 동시에 다수의 악성코드를 유포하기 위한 것으로 추정된다.

처음에 설치된 악성코드 중 나머지 2개는 윈도우 비스타(Windows VISITA)와 윈도우 7(Windows 7)에 존재하는 UAC(User Access Control) 기능을 무력화해 생성한 악성코드를 정상적으로 실행하기 위한 기능을 수행한다고 회사측은 전했다.

안랩은 “현재 해당 소프트웨어 제공 업체에서 보안 업데이트 패치를 제공 중이므로 이를 반드시 설치해야 한다”며 “근본적인 피해방지를 위해서는 해당 업체에서 제공하는 보안 패치 설치가 필수적이다. 보안 패치가 나오기 전까지는 사용하고 있는 백신을 최신으로 업데이트하고 발신자가 불분명한 메일에 포함된 첨부파일은 열지 않는 것이 필요하다”고 강조했다.

이번 특정 문서 편집 프로그램에 존재하는 제로데이 취약점을 악용하는 악성코드는 V3 제품군과 APT 전문 대응 솔루션 트러스와처에 포함된 DICA(Dynamic Intelligent Content Analysis)에 의해 시그니처 없이 탐지가 가능하다

이호웅 안랩 시큐리티대응센터장은 “최근 국내 대선, 연봉계약서, 국방문서 등 사용자의 관심을 끌만한 문서를 위장해 악성코드를 배포하려는 시도가 발견되고 있다”며 “이런 공격은 상대적으로 의심을 덜 할 뿐만 아니라 내용과 형식도 정상파일처럼 갖추고 있어 사용자는 자신이 공격을 당하는지 알지 못할 가능성도 크기 때문에 백신 업데이트 및 송신자가 불분명한 수상한 메일의 첨부파일 및 링크 클릭을 자제하는 것이 좋다”고 말했다.