한글과컴퓨터가 한컴오피스 보안 취약점을 악용한 지능형지속위협(APT) 공격에 대응한다.
한글과컴퓨터(대표 이홍구)는 엔드포인트 보안기업 블랙포트시큐리티(대표 박재영)와 손잡고 한컴오피스 제품에 APT 공격에 대응하는 보안 기능을 넣는다.
해커는 최근 알려지지 않은 상용소프트웨어 취약점을 활용해 기업이나 조직 네트워크에 침투한다. 마이크로소프트 워드나 파워포인트, 어도비 PDF, 한글과컴퓨터 한컴오피스 등에서 찾아낸 보안 취약점을 악용하는 사례가 많다.
한국인터넷진흥원 인터넷침해사고대응센터 보안공지를 분석한 결과 한컴오피스 보안 취약점은 2011년 3개에서 2012년 10개, 2013년 12개, 2014년 9개가 발견됐다. 올해는 8개가 보고됐다.
해커는 문서 파일에 악성코드를 숨겨 이메일로 보낸다. 이메일에 첨부된 문서를 열면 악성코드가 작동하고 주요 정보나 자료를 유출한다. 지난해 발생한 한국수력원자력 원전 문서 유출 사고를 비롯해 기업과 기관이 오피스 프로그램 취약점을 이용한 해커 공격을 받았다.
한글과컴퓨터는 블랙포트시큐리티와 함께 스스로 한컴오피스를 악용한 사이버 공격을 막는 방안을 내놨다.
블랙포트시큐리티는 코드게이트 등 국내외 유명 해킹대회 출신 화이트 해커와 주요 보안 기업에서 제품을 개발했던 전문가로 구성된 보안 스타트업이다. 블랙포트시큐리티는 ‘프로그램 이상흐름 검출 장치 및 방법’ ‘악성코드 유포지 실시간 탐지·수집 장치 및 방법’ ‘샌드박싱된 윈도 응용프로그램 외부로의 데이터 전송 방법’ 등 기술을 개발해 특허 등록했다.
블랙포트시큐리티는 관련 기술을 활용해 한컴오피스에 특화한 동적탐지 솔루션 ‘비트센트리 안티 익스플로잇 소프트웨어개발자도구(BitSentry AE SDK)’를 개발했다. 관련 SDK는 프로그램 실행이 정상적인지 탐지한다. 한컴오피스에서 취약점이 작동하고 악성코드가 실행되기 전에 차단해 감염을 막는다.
한컴오피스에서 정상 동작 외에 이상이 감지되면 기존 악성코드 패턴과 매칭 없이 바로 공격을 차단한다. 박재영 블랙포트시큐리티 대표는 “한컴오피스와 관련된 알려진 취약점 공격과 알려지지 않은 취약점 공격 모두를 실시간으로 탐지하고 차단한다”고 설명했다.
한컴오피스가 악성코드에 감염된 데이터를 읽어 들이는 순간부터 취약점을 이용해 해커가 작성한 코드로 제어하는 흐름을 파악한다. 해커가 작성한 코드에서 악성행위가 이뤄지는 시점을 전부 탐지한다.
양왕성 한컴 연구개발본부장은 “블랙포트와 테스트 완료 후 이달 내로 기존 한컴오피스 제품에 자동 업데이트하고 차기 한컴오피스 제품에 넣을 예정”이라며 “향후 사용자 보안성을 높이는 데 지속적인 노력을 할 것”이라고 전했다.
김인순기자 insoon@etnews.com
