안랩, 문서 편집 프로그램 취약점 악용 악성코드 경고
- 주소, 전화 번호 등 개인정보를 담은 인명부 문서파일 위장
- 백신 업데이트, 의심 메일 첨부파일 실행 자제, 소프트웨어 보안패치 설치 등 사용자 주의 필요
이번에 발견된 악성코드를 포함한 문서는 학생들의 이름, 주소, 전화번호 및 핸드폰 번호 등 개인정보를 담은 인명부를 위장했다. 이 악성문서는 해당 문서 편집 프로그램의 알려지지 않은 새로운 ‘제로데이(0-Day) 취약점’을 악용했다. 제로데이 취약점이란 소프트웨어 제작사에서 패치가 아직 나오지 않은 보안 취약점으로, 이 시점에서 이루어지는 공격을 ‘제로데이 공격’이라 한다.
해당 문서 파일을 열게 되면 사용자 모르게 악성코드 3종이 연쇄적으로 설치된다. 이 중 한 개는 특정 웹사이트 세 곳에서 gif 또는 jpg 확장자를 가진 파일을 다운로드 한다. 이는 악성코드 제작자가 해당 파일을 추후에 다른 기능을 하는 악성코드로 변경해 동시에 다수의 악성코드를 유포하기 위한 것으로 추정된다. 처음에 설치된 악성코드 중 나머지 2개는 윈도우 비스타(Windows VISITA)와 윈도우 7(Windows 7)에 존재하는 UAC(User Access Control) 기능을 무력화해 생성한 악성코드를 정상적으로 실행하기 위한 기능을 수행한다.
안랩은 2월 6일 현재 해당 소프트웨어 제공 업체에서 보안 업데이트 패치를 제공 중이므로 이를 반드시 설치 할 것을 권고했다. 근본적인 피해방지를 위해서는 해당 업체에서 제공하는 보안 패치 설치가 필수적이다. 보안 패치가 나오기 전까지는 사용하고 있는 백신을 최신으로 업데이트하고 발신자가 불분명한 메일에 포함된 첨부파일은 열지 않는 것이 필요하다.
이번 특정 문서 편집 프로그램에 존재하는 제로데이 취약점을 악용하는 악성코드는 V3 제품군과 APT 전문 대응 솔루션 트러스와처에 포함된 DICA(Dynamic Intelligent Content Analysis)에 의해 시그니처 없이 탐지가 가능하다.
안랩 시큐리티대응센터 이호웅센터장은 “최근 국내 대선, 연봉계약서, 국방문서 등 사용자의 관심을 끌만한 문서를 위장해 악성코드를 배포하려는 시도가 발견되고 있다. 이런 류의 공격은 상대적으로 의심을 덜 할 뿐만 아니라 내용과 형식도 정상파일처럼 갖추고 있어 사용자는 자신이 공격을 당하는지 알지 못할 가능성도 크다. 사용자는 소프트웨어 업체가 제공하는 보안패치를 설치하고, 백신 업데이트 및 송신자가 불분명한 수상한 메일의 첨부파일 및 링크 클릭을 자제하는 것이 좋다”고 말했다.
안랩 개요
안랩(www.ahnlab.com)은 1995년 3월 창립된 소프트웨어 기업으로서 세계적 수준의 보안 기술력과 전문적인 소프트웨어 제품 및 서비스 역량을 갖춘 신뢰도 높은 기업이다. 설립 이래 꾸준히 성장해 2012년에 국내 패키지 소프트웨어 업계 최초로 매출 1000억을 돌파하는 성과를 거둔 바 있다. 세계적으로 정보보안 시장이 형성되기 시작한 1988년부터 쌓은 정보보안 노하우를 기반으로 시장을 개척해왔으며, 국내 보안 업체 중 유일하게 5대 국제 인증을 모두 획득해 글로벌 기업들과 대등한 기술력으로 경쟁하고 있다. 네트워크 및 엔드포인트 보안 솔루션, 보안 컨설팅, 보안 관제 등 최신 보안 위협에 다층적인 해법을 제공한다. 지능형 지속 위협(APT)에 대응하는 트러스와처, 디도스 등 네트워크 침입을 탐지/차단하는 트러스가드, 모바일 및 PC용 악성코드를 진단/치료하는 V3가 대표적 제품군이다.
웹사이트: http://www.ahnlab.com
연락처
안랩
커뮤니케이션팀
오지나 대리
031-722-7566
-
2025년 12월 24일 09:28
