KISA, 최근 정부 보고서 위장한 해킹메일 공격 상세 분석 보고서 발표
기술지원이 종료된 IE 취약점 노려…모든 소프트웨어에 최신 버전 업데이트 필요
[보안뉴스 김영명 기자] 최근 다양한 사회적 이벤트와 사고 등 이슈에 대한 국민적 관심을 악용, 실제 정부부처 홈페이지에 게시된 제목을 모방해 악성코드가 심어진 MS워드 문서 파일을 해킹 메일을 통해 유포된 일이 발생했다. 특히, 지난해 10월 말에 서울 이태원에서 발생한 참사 사고, 남북한 바다 위 경계선인 북방한계선(NLL) 문제에 대한 워드 문서가 악용되기도 했다.
![[보안뉴스 / 7.27.] 정부부처 게시물 제목 모방해 악성코드 심은 MS워드 파일 유포](http://www.boannews.com/media/upFiles2/2023/07/221564970_2949.jpg)
▲인터넷 익스플로러 취약점을 악용한 해킹메일 공격 수행 단계[자료=KISA]
한국인터넷진흥원(KISA, 원장 이원태)은 과학기술정보통신부(장관 이종호)와 함께 최근 지속해서 발생했던 해킹메일 공격에 대한 보안 취약점 상세 분석 보고서를 발표했다. KISA는 해커의 최근 공격이 인터넷 익스플로러(IE)의 취약점을 악용해 총 3단계에 걸쳐 수행됐다고 분석했다.
첫 번째 단계는 악성 문서(MS워드) 파일 열람 시, 사용자 PC는 공격자 서버로 접속돼 악성 서식 파일(Rich Text Format, RTF) 다운로드, 두 번째 단계는 악성 RTF 파일에 삽입된 인터넷주소(URL)를 통해 공격자 서버에서 악성 HTML 파일 추가 다운로드, 세 번째 단계는 MS워드에서 HTML 파일을 처리하기 위해 IE의 스크립트 엔진(JScript9)을 사용하는데 해당 엔진의 취약점으로 인해 악성코드 실행 등으로 진행됐다.
특히, 해커는 MS워드 등 다른 기존 프로그램에서 HTML 파일을 실행할 경우 활용되는 IE 스크립트 엔진(JScript9)의 취약점을 악용해 공격했다. 그 이후, MS는 해당 취약점을 확인해 지난해 11월에 보안 패치를 발표했지만, MS Office 등 일부 소프트웨어에서 HTML 파일을 실행할 때 여전히 IE HTML 해석 기능을 사용하는 경우가 있기 때문에 언제든 이와 비슷한 형식의 취약점을 악용한 공격이 발생할 수 있다고 판단했다.
KISA는 구 버전의 소프트웨어와 연계돼 사용할 경우 공격 대상이 될 수 있기 때문에 사용자가 사용하는 모든 소프트웨어에 대해 업데이트를 상시 수행해 최신 버전으로 유지하는 것이 중요하다고 말했다. 또한, KISA는 취약점 분석을 지속해서 강화하며 침해사고에 악용될 수 있는 고위험 취약점을 발굴하고 피해 예방을 위한 사전 조치를 강화하겠다는 밝혔다. 실제 KISA는 보안 취약점 신고포상제를 통해 국민들이 사용 중인 앱, 망 연계 솔루션 등에서 발견된 취약점을 조치해 침해사고로 연계될 가능성을 차단해 왔다.
KISA 최광희 사이버침해대응본부장은 “국가적 재난 상황에서도 사이버 공격은 끊임없이 발생하고 있으며, 해커는 이슈를 악용해 공격하기 때문에 사이버 위협 대응에 긴장의 끈을 놓쳐서는 안 된다”며, “KISA는 앞으로도 지속적인 사이버 위협 모니터링을 통해 사이버 공격의 선제적 대응에 힘쓰겠다”고 밝혔다.
[김영명 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
![[보안뉴스 / 7.27.] 정부부처 게시물 제목 모방해 악성코드 심은 MS워드 파일 유포](https://mlsixs8vyvqc.i.optimole.com/U4pfbHs.KYFx~5c965/w:300/h:66/q:auto/https://cybersecurity.re.kr/wordpress/wp-content/uploads/2021/05/연구회-footer-로고.png "연구회 footer 로고")
