MS 엑셀 대상 공격코드 또 등장

　마이크로소프트(MS)의 스프레드시트 프로그램인 엑셀(Excel)의 새 보안 결함을 공격하는 코드가 인터넷에 등장했다고 C넷이 20일(이하 현지시각) 보도했다.

이것은 MS가 엑셀에서 발견된 버그에 대응책을 마련하려 서두르고 있는 시점에 나온 2번째 제로데이(zero-day) 공격 코드다.

제로데이 공격이란 보안 취약점이 널리 공표되기도 전에 이를 악용해 이뤄지는 보안 공격을 일컫는다. 대처방법이 마련되기도 전에 공격이 이뤄지기 때문에 위험성이 크다.

보안 SW 업체인 시만텍이 19일(현지시각) 고객들에게 보낸 경고에 따르면 공격자가 이 결함을 악용해 엑셀 프로그램을 망가뜨릴 수 있으며, 사용자의 PC를 마음대로 사용할 수 있는 위험이 있다고 말했다.

시만텍에 따르면 이번 결함은 사용자가 부족한 용량의 메모리 버퍼에 입력 내용을 복사하기 전에 엑셀이 이를 제대로 체크하지 못하는 것이다. 엑셀 2003과 엑셀 XP가 이런 결함을 갖고 있으며 엑셀의 다른 버전들도 영향을 받을 수 있다.

보안 모니터링 업체인 시큐니아는 이번 결함을 가장 심각한 단계보다 한 단계 낮은 ‘매우 심각한(highly critical)’ 단계로 지정했다. 그러나 이 결함을 공격하는 코드의 샘플이 인터넷에 나와 있지만, 이를 이용한 시스템 공격 사례는 아직 발견되지 않았다고 밝혔다.

MS는 엑셀 2003을 복구 모드(repair mode)로 운용할 때 공격받을 수 있다며 이 모드로 운용하지 말라고 최근 내놓은 보안 권고에서 밝혔다.

정소영기자@전자신문, syjung@