OLE 개체 기능 악용한 APT 한글 문서 사례

얼마 전에 MS 오피스에서 발견된 취약점을 이용하여 만든 문서를 열기만 해도 악성코드에 감염될 수 있다는 내용을 "MS 오피스 제로데이 취약점 사례"에 대해서 설명드린적이 있었습니다. 이런 공격들은 이전까지 발견하지 못한 공격이기 때문에 패치가 나오기 전까지는 대응을 할 수 없다고 말씀드렸는데요. 그런데 최근 유행하고 있는 문서형 악성코드가 꼭 새로운 취약점만 가지고 만들어지는 건 아니죠. 기존에 문서에서 제공하는 기능들을 가지고 악성 행위를 할 수 있는데, 오늘은 한글 문서가 제공하는 OLE 개체 연결 삽입 기능을 이용한 문서형 악성코드에 대해 설명드리도록 하겠습니다.

​

여러분들도 익숙하게 알고있는 한컴에서 만든 한글이라는 프로그램은 굉장히 오래전부터 사용되어 왔죠. 지금도 학교에서 과제를 하거나 대부분의 공공기관에서 업무를 할 때 사용하는 문서 편집 프로그램일텐데요. 이 한글의 역사가 오래되었다 보니 저희가 모르는 별별 기능들이 많이 있습니다. 아마 한글 문서 안에 MS 오피스의 엑셀 시트나 PPT 슬라이드를 추가할 수 있다는 사실을 아는 분들은 많이 없을텐데요. 과거부터 있었던 OLE 개체 삽입 기능을 이용하면 한글 문서에 엑셀이나 워드 문서를 편집할 수 있습니다.

​

지금은 OOXML이라는 표준 포맷을 사용하고 있지만, 사실 OLE라는 포맷 자체가 과거 MS 오피스 문서의 바이너리 형식이었습니다. 한글도 역사가 꽤 오래된 프로그램이다 보니, 과거에 MS 오피스 문서를 한글 문서 안에서 편집할 수 있는 기능을 개발했고, 과거 버전과의 하위 호환성을 위해 지금까지 해당 기능이 존재하는건데요. 그런데 문제는 OLE 개체 연결 삽입 기능 자체가 문서에 포함되어 있거나 외부에 있는 파일을 연결해서 실행시킬 수 있는 구조이다 보니, 해커가 이 기능을 가지고 악성 문서를 만들어서 APT 공격에 이용하고 있죠.

​

어려운 기술적인 내용은 여기서 설명드리지 않겠지만, 최근 유포되고 있는 악성코드는 한글 문서 안에 삽입된 OLE 개체를 클릭하면 파워쉘을 이용해서 악성 행위를 하는 구조입니다. 즉, 악성 행위를 하는 코드가 문서 내부에 존재하고, 삽입된 OLE 개체를 사용자가 클릭하는 순간 해당 코드가 실행된다고 생각하시면 됩니다. 그래서 피싱 메일에 포함된 대부분의 이러한 악성 한글 문서는 사용자로 하여금 해당 파일을 실행시켜서 OLE 개체를 클릭하도록 유도하는 문구를 삽입하고 있죠.

한글문서 ‘OLE 개체 연결 삽입’ 기능 악용한 APT 문서 유포

이번 악성 문서는 기존에 설명드렸던 매크로를 이용한 방식과 비슷하면서 다르다고 느끼실 겁니다. 한글에서는 경우 자바스크립트를 이용해서 매크로를 구현할 수 있고, 기본적으로 매크로 사용이 제한되어 있기 때문에 사용자가 허용하지 않는 한 실행되지 않죠. 그나마 다행인 것은 마찬가지로 이 OLE 개체가 삽입된 한글 문서를 사용자가 클릭했다고 해도 기본적으로 실행이 막혀있고 경고창을 띄어준다는 건데요. 그래도 조금이라도 수상한 메일을 받으신다면 위의 기사에서 언급한 파일의 이름을 보시고, 동일한 파일이 첨부되어 있다면 바로 삭제하시길 바랍니다. 그럼 오늘은 여기서 짧게 마무리 짓도록 하죠. 읽어주셔서 감사합니다.