재난지원금 신청 동의서로 위장한 한글 문서 악성코드

요근래 날씨가 너무 추워졌는데요. 분명히 2주 전만 하더라도 코트를 입고 다녔던거 같은데 이제는 패딩을 입지 않으면 얼어 죽을 것 같은 날씨입니다. 추운 날씨인 만큼 감기에 걸리지 않도록 모두 조심하기 바라면서, 오늘은 재난지원금 신청 동의서로 위장한 한글 문서 악성코드에 대해서 말씀드려볼까 합니다. 재난지원금 신청 기간은 이미 끝났지만, 혹시나 하는 마음에 무심코 클릭했다가 악성코드에 감염될 수 있기에 주의하셔야 할 것 같습니다. 그러면 오늘도 간단히 설명드리도록 하죠.

​

이전에 썼던 에세이인 "매크로를 사용한 부고 안내문 사칭 메일 사례"에서 doc나 xls과 같은 MS 오피스 문서를 이용한 악성코드에 대해 소개드린적이 있었죠. 오피스 문서에서는 VBA(Visual Basic for Application)이라고 하는 스크립트 언어로 매크로를 작성할 수 있고, 해커가 악성 행위를 하는 코드를 문서에 넣어서 배포해서 사용자가 문서를 열면 감염이 되는 형태라고 설명드렸습니다. 한글 문서도 마찬가지로 매크로를 작성할 수 있는데요. 한글 문서는 보통 공공기관에서 많이 사용하다보니 민원이나 다양한 신청서를 작성할 때 흔하게 보실 수 있죠.

​

한글 문서에서 매크로는 자바 스크립트 언어로 작성이 됩니다. 여기서 말하는 자바 스크립트는 일반적으로 웹 브라우저에서 사용하는 언어와 동일하구요. 이번 사례의 경우 해커가 실제 한글 문서로 된 재난지원금 신청에 쓰였던 개인정보 수집이용 동의서에다가 악성 행위를 하는 코드를 삽입한 것입니다. 사용자가 이 악성 한글 문서를 열게 되면 매크로가 실행되면서 해커가 설정해 놓은 URL에서 추가적으로 악성코드를 다운로드 받고 실행시키는 구조인데요. 일단 매크로가 수행되고 나면 이후 악성 행위는 백그라운드로 진행되기 때문에 사용자가 알아차리기 어렵겠죠.

​

물론 MS 오피스 문서와 마찬가지로 매크로를 자동으로 실행하는 설정이 되어있지 않다면, 사용자가 매크로 실행 버튼을 누르기 전에는 매크로가 수행되지 않습니다. 아주 오래된 버전의 한글 프로그램이라면 매크로를 자동으로 실행하겠지만, 현재는 MS 오피스나 한글, PDF 프로그램에서도 기본적으로 매크로 실행을 차단하고 있는데요. 하지만 대부분 악성 문서에서는 사용자에게 이 문서가 보안 문서이기 때문에 매크로를 실행시키도록 유도하고 있다는게 문제입니다. 이런 악성코드를 모르는 분들은 쉽게 당할 수 밖에 없겠죠.

 

‘재난지원금 신청 개인정보 동의서’ 위장 악성 문서파일 발견

MS 오피스나 한글 문서의 경우 굉장히 빈번하게 사용되기 때문에, 메일로 문서가 온다면 별 의심 없이 실행시키는 경우가 많아서 악성 문서로 발생하는 피해가 더 크다고 봅니다. 그나마 다행인 건 대부분 프로그램에서 매크로 실행 설정이 사용자가 실행하기 전까지는 디폴트로 차단되어 있다는 점이죠. 악성 문서 때문에 매크로 자체를 아예 사용하지 않도록 설정해 두기에는 일반 업무에서도 매크로를 사용하는 케이스가 많아서 쉽지 않을 것 같은데요. 보안 솔루션에서 필터링 하는 것도 한계가 있기 때문에, 일단 모르는 곳에서 온 메일이면 매크로 실행은 절대 하지 않는 것이 좋을 것 같습니다. 그럼 오늘은 여기까지 설명드리도록 하죠. 읽어주셔서 감사합니다.