한글 매크로 및 OLE를 이용한 악성코드 사례

 

 

한컴의 한글이라고 하면 아마 90년대 생들은 어려서 부터 지겹게 봐왔던 문서 작업 프로그램 중 하나가 아닐까 싶습니다. 지금은 워드프로세서 1급 자격증 밖에 남지 않았지만, 2,3급이 있었던 시절부터 실기는 이 한글 프로그램을 이용해서 시험을 봤었죠. 직장인이 된 지금은 한글보다 MS 오피스를 더 많이 사용하지만 여전히 공공 기관에서는 한글 프로그램을 많이 사용할 겁니다. 이렇게 장황하게 한글에 대해 언급한 이유가 오늘 설명드릴 부분이 한글 문서 악성코드이기 때문인데, 한글에서는 다소 생소한 매크로와 OLE를 설명드리면서 이를 이용한 공격에 대해 같이 말씀드리도록 하겠습니다.

 

매크로를 사용한 부고 안내문 사칭 메일 사례

 

사실 문서형 악성코드는 워낙 흔해졌기 때문에 새로운 공격에 속하진 않을 것 같은데요. 위 글에서 MS 오피스의 워드나 엑셀에서 매크로를 이용한 악성코드를 설명드리면서, 한글도 마찬가지로 매크로를 이용해서 악성코드를 제작할 수 있다고 가볍게 언급을 드렸었죠. 사실 매크로라는 것 자체가 스크립트 언어를 이용해서 일반 사용자도 쉽게 제작할 수 있게 만들었기 때문에, 문서형 악성코드를 만드는 것은 그리 어렵진 않습니다. 다만, 사용자들이 문서를 열고 매크로 허용 버튼을 눌러야 하기 때문에, 최근에는 해커들이 문서형 악성코드를 실제로 업무에 사용되는 문서처럼 보이도록 정교하게 만들고 있는 추세죠.

이렇게 MS 오피스 프로그램이나 한글이 매크로를 만들 수 있는 환경이 큰 차이가 없다보니 해커들이 공공기관은 한글을, 일반 기업은 MS 오피스를 이용해서 악성코드를 만들어 배포합니다. 그런데 최근 MS 오피스의 보안 패치로 인해 사용할 수 있는 취약점들이 줄어들면서, 한글 악성코드가 늘어나고 있는데요. 한글에서는 매크로 외에 객체연결 삽입이라고 하는 OLE(Object Linkage and Embedding) 개체 삽입 기능을 제공하고 있습니다. 아마 이 기능을 사용하신 분들이 많지 않아서 생소하실거라 생각하는데, 단순히 이야기해서 한글 문서 내에 외부의 파일을 문서 자체에 포함해서 실행할 수 있는 기능입니다.

조금 더 자세히 설명드리면 한글 문서 내에 또 다른 한글 문서를 넣을 수 있고, 뿐만 아니라 MS 오피스 프로그램인 워드나 엑셀 파일, 심지어 EXE도 넣어 실행시킬 수 있죠. 이런 설명을 들으면, 해커가 악성코드를 만들기 딱 좋은 기능이라는 것을 눈치채실 수 있으텐데요. 공공기관에서 사용하는 문서 템플릿에다가 보안 문서라면서 OLE 기능을 이용해서 악성코드 실행파일을 넣어두고, 다른 기관의 공문 요청인 것처럼 담당자에게 메일을 보내서 실행을 유도할 수 있을 겁니다. OLE 개체 삽입 기능 자체가 취약점을 이용한 것이 아닌 정상적인 기능이다 보니, 최근 이런 기능을 이용한 악성코드가 증가하고 있다고 보시면 될 것 같습니다.

 

MS 오피스 매크로처럼 한글 OLE 악용하는 해커들, 최근 공격 정황 포착

 

위의 기사를 읽어보시면, 한글 프로그램 버전 별로 EXE 실행파일이나 배치파일을 실행을 위한 설정 변경들이 조금씩 상이하다는 것을 확인하실 수 있는데요. 초기에는 MS 오피스에서 문서가 열자마자 매크로가 실행되었지만 이후 패치를 통해 매크로 실행을 제한했었죠. 마찬가지로 한글에서도 버전이 올라가면서 옵션에서 매크로 자동실행 설정을 변경을 해야 OLE가 실행되는 것을 볼 수 있습니다. 그래서 최신 버전의 프로그램을 사용하는 것만으로 안전해 지기 때문에, 항상 프로그램을 최신으로 유지하라고 권고드리는 겁니다. 이렇게 오늘은 OLE 개체 삽입 기능을 이용한 한글 악성코드에 대해 말씀드렸습니다. 그럼 여기서 마무리하죠. 감사합니다.