기업 사용자를 타겟으로 한 문서 악성코드 사례

최근 삼성전자에서 랩서스라는 해커 조직에게 해킹을 당해서 갤럭시 보안 프로그램 코드가 유출된 적이 있었습니다. 거기다가 LG 전자와 글로벌 기업인 엔비디아, 마이크로소프트 등도 해킹을 당하면서 꽤 많은 파장을 일으켰죠. 물론 대부분 개인정보가 아닌 회사의 기밀 정보가 유출된 것이기에 국내에서는 크게 보도가 되진 않았지만, 해외에서는 꽤 유명한 이슈였습니다. 러시아와 우크라이나의 전쟁이 계속는 가운데 사이버 상에서는 해킹 공격이 활발하게 이루어지고 있는데, 오늘은 국내 기업들의 사용자를 타겟으로 한 워드 문서 악성코드 사례에 대해 설명드리겠습니다.

​

워드나 엑셀과 같은 문서를 이용한 악성코드는 이미 수 차례 소개드린 바 있는데요. 아무리 기업의 메일 서버에 보안 솔루션이 설치가 되어있지 않다고 하더라도, 기본적으로 메일의 첨부파일로 실행파일이 있으면 차단하는게 기본 정책이기 때문에 특수한 경우를 제외하고는 해커가 실행파일을 이용해서 악성 메일을 보내는 경우가 거의 없습니다. 지금은 대부분 악성코드를 실행파일 형태로 제작하는 대신, 문서의 매크로 기능을 이용해서 악성 행위를 하도록 만들죠. 회사에서 업무를 하다보면 워드나 한글 문서, PDF 등 많은 문서를 보내고 받기 때문에 실행파일 보다는 비교적 의심을 덜 받게 됩니다.

​

조금 기술적인 이야기를 말씀드리자면, 워드나 엑셀 같은 오피스 문서에서는 VBA(Visual Basic for Application)이라는 스크립트 언어를 이용해서 매크로를 작성할 수 있습니다. 물론 한글 문서나 PDF도 매크로를 만들 수 있는데 이때는 자바스크립트 언어를 이용하죠. 한글 문서는 대부분 공공기관에서 사용하기 때문에 보통 공무원을 노리고 악성 문서를 만들고, 일반 기업에서는 워드를 가지고 악성 문서를 만듭니다. 악성 문서를 분석하다보면 랜섬웨어와 같은 추가 악성코드를 받아서 실행시키거나, 윈도우 내장 명령어인 파워쉘을 이용하여 시스템을 장악하는 매크로 코드가 대부분이었습니다.

​

최근에는 이 악성 문서를 좀 더 정교하게 만들고 있는데, 기본적으로 윈도우의 보안 설정을 켜두셨다면 문서를 열더라도 매크로가 바로 실행되지 않고 콘텐츠 사용 버튼을 눌러야지 실행됩니다. 사용자들도 이것을 알고 있기에 출처를 모르는 문서에서 함부로 콘텐츠 사용 버튼을 누르진 않죠. 그런데 말이죠.. 문제는 해커들도 계속 지능적으로 변해서, 사용자가 일단 문서를 신뢰할 수 있도록 만든다는 겁니다. 정상 문서처럼 보이도록 하기 위해 계정 보안 강화와 관련된 이미지를 넣는다던지, 암호화된 문서라고 하면서 매크로를 실행하도록 유도하는 것이죠. 이 때문에 이전보다 더 많은 사용자들이 속고 있는 추세입니다.

기업 사용자 노린 악성 워드 문서 또 발견! 국내 기업 해킹 타깃 되나

참고로 이번 문서 악성코드의 특징 중 하나는 V3와 같은 백신이 실행되고 있는 경우 더이상 악성 행위를 수행하지 않고 종료된다는 점입니다. 이것은 기업에 침투하려고 일반적인 사용자와 기업 사용자를 구분하기 위한 목적으로도 볼 수 있지만, 보통 백신에서 의심스러운 파일들을 클라우드로 보내서 별도의 검사를 하고 악성코드 DB에 추가하는 것을 볼 때, 이를 지연시켜서 악성코드의 활성 시간을 좀 더 늘리려는 것이 아닌가 생각됩니다. 아무리 여러 보안 솔루션이 설치되어 있는 기업이라고 하더라도 완벽할 수는 없으니 개개인이 좀 더 신경을 써야할 것으로 보입니다. 그럼 오늘은 여기서 줄이도록 하죠. 감사합니다.