포티넷코리아(지사장 조현제 www.fortinet.com/kr)는 보안연구소인 포티가드랩(FortiGuard Labs)이 HWP 문서 사용자 대상 멀웨어 공격을 발견했다고 밝혔다.

▲ 한국 핵 정책에 대한 항의가 포함된 악성 문서

이번 공격은 이미 알려진 CVE-2015-2545 Encapsulated PostScript(EPS) 취약성을 사용하는 한글 워드 프로세서(HWP) 문서였다.

HWP는 우리나라 정부 기관에서 많이 사용하며, 한국어 사용자를 스피어 피싱 대상으로 삼았다. 악성 문서 내용은 한국의 원전 및 노동 정책 등의 정치적 이슈로 사용자를 유인한 것이었다.

이 공격은 추적이 어려울 뿐만 아니라, 데이터 스토리지와 통신을 제공하는 무료 클라우드 서비스인 ‘피클라우드(pCloud)’를 이용했다. 수집한 샘플을 분석한 결과 ‘클라우드탭(CloudTap)’이라는 멀웨어가 나타난 지 1년이 넘은 것으로 나타났다.

악성문서에는 캡슐화된 포스트 스크립트를 숨겼으며, 문서가 실행되면 스크립트가 실행되고 페이로드가 다운된다. 그리고 피해자 단말에 저장된 기밀문서를 검색하고, 브라우저에 저장된 자격 증명을 탈취했다.

<박시현 기자> pcsw@bikorea.net