현(現) 정부 정책을 비판하는 문서에 악성파일이 들어 유포됐다.
이스트시큐리티(대표 정상원)는 최근 문재인 정부가 선언한 '탈핵시대' 정책을 비판하는 문서 안에 악성파일이 들어있어 주의를 당부했다.
발견된 한글 문서는 '문재인 정부의 탈핵선언을 비판한다.hwp'라는 제목이다. 유명 언론인이 운영하는 안보 관련 블로그 게시글 내용을 일부 편집해 제작된 것으로 확인됐다.
이 파일을 열람하면 편집된 문서 내용이 보인다. 하지만 사용자 몰래 해킹된 것으로 추정되는 국내 특정 웹 서버에 접속해 내부 정보를 탈취하는 악성 파일을 내려 받는다.
이스트시큐리티 시큐리티대응센터(ESRC) 분석 결과 문서 파일 변조에는 '포스트스크립트'와 '고스트스크립트' 취약점을 활용한다.
시큐리티대응센터는 “현재 특정 웹 서버를 통해 유포되던 추가 악성 파일이 삭제돼 위협이 추가적으로 확산되지 않는다”라면서 “이와 유사한 공격이 계속 이어질 수 있다”고 주의를 당부했다. 공격자가 사용한 고스트스크립트 취약점은 한컴 오피스 최신 보안 업데이트로 대응할 수 있다. 8월 27일 동일인이 제작한 것으로 추정되는 '개성공단 재개 반대 내용'의 악성 한글 문서 파일도 발견됐다.
이스트시큐리티는 통합 백신 알약에서 해당 악성 파일을 'Exploit.HWP.Agent'로 탐지하고 치료한다. 추가 피해가 발생하지 않도록 관련 정보를 한국인터넷진흥원(KISA) 등에 공유해 협력 한다.
김인순 보안 전문기자 insoon@etnews.com
