정보기술(IT)관리자를 겨냥한 해킹 공격이 발견됐다. IT관리자가 해킹되면 기업 전체 네트워크가 해커 손에 넘어갈 수 있어 대책 마련이 시급하다.
19일 사이버보안업계에 따르면 IT관리자가 활동하는 구글 그룹 게시판에 최신 한컴오피스 취약점을 이용해 ‘소니픽처스’ 공격에 쓰인 악성코드가 유포됐다. 대기업과 중소기업 등에서 일하는 IT관리자가 상당수 포함된 그룹이다. IT관리자를 노려 기업이나 기관 시스템에 침투하려는 치밀한 사전 준비로 분석된다.
대부분 한컴오피스 취약점 공격은 특정 기업이나 기관을 노린 이메일 첨부 파일 형태였다. 이번 건은 게시판에 악성파일을 올려 특정 그룹 전체를 동시다발적으로 노린 공격이다.
공격자는 최신 한컴오피스2014 버전 취약점을 사용했다. 9월 7일 이전까지 보안 업데이트가 없는 제로데이였다. 보안 업데이트가 배표된 9월 7일 이후에도 해당 취약점 공격이 계속되고 있어 신속한 패치가 시급하다.
글로벌 보안기업 파이어아이는 이 취약점은 한컴 오피스 표준파일 포맷인 HWPX의 논리적 오류를 이용하는 수법이라고 분석했다. 공격당한 HWPX 문서는 소니픽처스 공격에 쓰인 것과 유사한 악성코드를 생성한다. 이 악성코드 모두 명령제어 서버 명령에 따라 윈도 명령을 실행하고 같은 저장경로를 이용한다.
보안업계 관계자는 “커뮤니티 게시판을 이용한 공격 후 해당 그룹 전체 이메일로 또 다시 스피어피싱을 시도했다”며 “IT관리자 공격에 성공하면 기업 네트워크를 쉽게 장악할 수 있다”고 설명했다. 그는 “관련 커뮤니티는 국내 주요 기업 IT관리자 상당수가 활동하고 있다”며 “3·20 사이버테러와 같은 형태 공격이 발생할 수 있어 한컴 취약점 업데이트에 관심을 기울여야 한다”고 덧붙였다.
김인순기자 insoon@etnews.com
