[보안뉴스 / 8.21.] MS 오피스 매크로처럼 한글 OLE 악용하는 해커들, 최근 공격 정황 포착

MS 등 시큐어코딩 적용해 취약점 줄자 매크로와 OLE 같이 문서 정상 기능 악용해 공격
외부파일 삽입 가능한 OLE 기능 이용해 악성 스크립트나 프로그램 넣어 사용자 실행 유도
한글문서, 2022 버전이나 최신 업데이트가 적용된 한글 2018, 2020 버전으로 사용해야

[보안뉴스 기획취재팀] 최근 한글문서의 객체연결삽입기능(OLE)를 이용한 공격이 포착돼 이용자들의 각별한 주의가 요구된다.

영남이공대학교 사이버보안연구센터(센터장 이종락)가 발표한 ‘한글문서의 객체연결삽입기능(OLE)를 이용한 공격기술’ 연구결과에 따르면 해커들은 2010년 중반까지 문서를 이용한 공격을 할 때, 주로 취약점을 이용했다. 문서 취약점을 이용하면 사용자가 문서를 열람하는 행위만으로도 악성코드가 자동으로 실행될 수 있기 때문이다. 그러나 최근에는 MS 등 제조사들의 시큐어코딩 적용으로 취약점 발견 빈도가 감소하고 있으며, 이로 인해 공격자들은 취약점보다는 매크로, OLE와 같이 문서의 정상 기능을 이용한 공격기술을 주로 사용하고 있다.

▲한글 2010에서 이미지 하이퍼링크를 통해 프로그램이 실행된 화면[자료=영남이공대 사이버보안연구센터]

MS 오피스 문서에서 악성코드를 유포할 때 주로 매크로가 사용되는 것처럼, 한글 문서에서는 OLE 기능이 사용된다. OLE 기능은 한글문서 내에 외부의 파일을 직접 문서 내에 삽입하는 기능이다. 해커들은 해당 기능을 이용해 악성 스크립트나 프로그램을 삽입, 사용자의 실행을 유도할 수 있다.

한글 문서의 ‘입력’ 탭 > ‘OLE 개체’ >‘파일로부터 만들기’메뉴에서 exe 또는 bat 유형의 악성파일을 삽입할 수 있다. 그림파일 등을 입력한 후, 하이퍼링크 기능을 이용해 악성코드를 연결하는 것도 가능하다.

[자료=영남이공대 사이버보안연구센터]

사용자가 이렇게 작성된 문서에서 OLE 객체나 그림/도형 등을 클릭하면, 악성코드가 실행된다. 실제 공격사례를 보면 투명한 프레임 화면 전체에 넣어서 문서 내 어디를 클릭하더라도 악성코드가 실행되도록 하는 기술도 사용된다.

▲버전별 한글 문서 비교표[자료=영남이공대 사이버보안연구센터]

영남이공대학교 사이버보안연구센터 측은 “동일한 OLE 악성코드를 실행하더라도, 한글 프로그램의 버전에 따라 실행 결과가 다르다”며 “한글 2018 이하의 낮은 버전에서는 하이퍼링크 기능을 이용해 이미지를 클릭하는 것만으로도 악성코드가 실행될 수 있다. 반면, 한글 2018 이상의 버전부터는 하이퍼링크를 클릭할 경우, 실행 경고가 발생한다”고 설명했다.

[자료=영남이공대 사이버보안연구센터]

또한, 한글 2020 이하의 버전에서 bat 파일을 실행할 경우, 경고창이 발생하지만 사용자가 실행에 동의할 경우 악성코드가 실행된다.

[자료=영남이공대 사이버보안연구센터]

한글 2022와 함께 최신 업데이트를 수행한 한글 2018, 한글 2020에서는 모든 유형의 코드 실행이 차단된다. 코드를 실행하려면 사용자가 상단의 ‘보안’>‘문서 보안 설정’에서 문서 보안수준을 변경해야 한다.

▲버전별 한글 뷰어 문서 비교표[자료=영남이공대 사이버보안연구센터]

한글 뷰어버전에서는 OLE 객체 유형은 동작하지 않았으나, 이미지 하이퍼링크는 2010을 제외한 대부분의 버전에서 실행이 가능했다는 게 센터 측의 설명이다. 뷰어 버전에서도 공격이 가능하다는 걸 확인할 수 있는 대목이다.

영남이공대 사이버보안연구센터 손우탁, 고영빈 연구원은 “낮은 버전의 한글 프로그램을 사용할 경우 악성코드를 이용한 공격에 노출될 수 있기 때문에 주의가 필요하다”며, “가급적 한글 2022 등 최신 버전을 사용하는 것이 좋으며, 2018나 2020 버전을 사용할 경우에는 반드시 최신 패치를 적용해야 한다”고 강조했다.
[기획취재팀(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>