보안 전문기업 이스트시큐리티는 ‘국내 가상자산 거래소의 계정 운영 정책 변경 안내’라는 제목의 문서로 위장한 악성코드가 등장했다고 14일 밝혔다.

/이스트시큐리티
/이스트시큐리티
이스트시큐리티에 따르면 이번에 발견된 공격에는 ‘계정기능 제한 안내’라는 파일명을 가진 악성 한글 문서(hwp)가 활용됐다. 회사 측은 "악성 파일은 마치 국내 유명 가상자산 거래소의 계정 운영 정책 변경 관련 내용인 것처럼 위장했다"며 "거래소 계정을 가진 사용자를 공격 타깃으로 설정한 것으로 추정된다"고 설명했다.

특히 취약점이 제거됐다고 알려진 최신 버전의 한글 문서 프로그램을 사용해도 파일 클릭에 따라 관련 위험에 노출될 가능성이 높은 것으로 드러났다.

이스트시큐리티 시큐리티대응센터(ESRC)는 해당 공격이 기존 hwp의 포스트 스크립트 취약점을 사용한 형태가 아닌, OLE(Object Linking & Embedding, 윈도의 여러 응용 프로그램에서 각각의 독립적인 자료들을 다양하게 사용할 수 있는 기능으로 데이터를 공유할 수 있다) 개체 기능을 악용한 공격이라는 점을 파악했다. 버전에 상관없이 문서를 클릭하면 내부에 숨겨진 32비트 악성 실행 파일(exe)이 설치된다는 것이다.

이스트시큐리티 측은 "주목할 만한 점은 감염 시스템의 정보를 수집하고 추가 명령을 내릴 수 있는 C2 주소가 국내 부동산 기획 홍보 관련 회사 사이트로 설정돼 있다는 것이다"라며 "공격자는 수집한 정보를 통해 가상자산 채굴, 추가정보 수집 등의 2차 공격을 수행할 수 있으므로 주의가 필요하다"고 밝혔다.

김연지 기자 ginsburg@chosunbiz.com

키워드