보안 전문기업 이스트시큐리티는 ‘국내 가상자산 거래소의 계정 운영 정책 변경 안내’라는 제목의 문서로 위장한 악성코드가 등장했다고 14일 밝혔다.
특히 취약점이 제거됐다고 알려진 최신 버전의 한글 문서 프로그램을 사용해도 파일 클릭에 따라 관련 위험에 노출될 가능성이 높은 것으로 드러났다.
이스트시큐리티 시큐리티대응센터(ESRC)는 해당 공격이 기존 hwp의 포스트 스크립트 취약점을 사용한 형태가 아닌, OLE(Object Linking & Embedding, 윈도의 여러 응용 프로그램에서 각각의 독립적인 자료들을 다양하게 사용할 수 있는 기능으로 데이터를 공유할 수 있다) 개체 기능을 악용한 공격이라는 점을 파악했다. 버전에 상관없이 문서를 클릭하면 내부에 숨겨진 32비트 악성 실행 파일(exe)이 설치된다는 것이다.
이스트시큐리티 측은 "주목할 만한 점은 감염 시스템의 정보를 수집하고 추가 명령을 내릴 수 있는 C2 주소가 국내 부동산 기획 홍보 관련 회사 사이트로 설정돼 있다는 것이다"라며 "공격자는 수집한 정보를 통해 가상자산 채굴, 추가정보 수집 등의 2차 공격을 수행할 수 있으므로 주의가 필요하다"고 밝혔다.
김연지 기자 ginsburg@chosunbiz.com