하우리(대표 김희천)는 변조된 악성 한글 프로그램 파일을 발견해 긴급 업데이트했다.
변조된 악성 한글 프로그램은 10월 중순께 하우리로 접수돼 분석을 하던 중 감염된 PC 시스템 정보를 탈취하고 연결된 서버에서 악성코드를 추가로 다운로드 받는 것이 확인됐다.
이번에 발견된 악성 한글 프로그램 파일은 정상 파일 진입점(OEP)을 변경해 악성코드 진입점(New EP)이 우선 실행되게 변조했다. 정상 파일에 악성코드를 심어 변조하면 한글 파일을 실행하고 사용하는 데 지장이 없다. 뒤로 악성행위를 수행하도록 제작돼 변조 여부 파악이 어렵다.
악성코드를 다운로드하고 감염된 사용자 시스템 정보를 유출해 해커 서버로 전송한다. 변조된 악성 한글 프로그램 파일은 악성코드 은닉이 쉽고 탐지가 어렵기 때문에 장시간 잠복해 악성행위를 수행한다. 한글 프로그램은 국가기관이나 공공기관에서 많이 사용해 감염 시 기밀문서나 중요 시스템 정보가 유출된다.
하우리는 변조된 한글 프로그램 파일을 분석하던 도중 해당 악성코드와 유사한 변종 악성코드도 수집해 긴급 업데이트를 했다. 악성코드 제작자가 동일한 유형의 변종 악성코드를 다수 배포하고 있는 정황이다. 한글 프로그램뿐만 아니라 다른 프로그램도 변조 대상이 될 수 있어 예의주시하고 있다.
하우리 CERT는 “최근 치명적인 악성코드가 웹이나 메일을 통해서 대량 유포되고 있어서 엔드포인트 보안 강화가 시급하다”며 “상시적인 보안교육과 의식을 고취시키고 각종 취약점 최신 보안패치와 대응 솔루션을 마련하는 것이 중요하다”고 강조했다.
관련 악성코드는 2015-10-30.01 버전 이후로 제네릭(Generic) 탐지 엔진에 적용돼 바이로봇 백신 프로그램에서 모두 진단·치료된다. 유포지와 경유지는 한국인터넷진흥원과 공조해 차단했다.
김인순기자 insoon@etnews.com
