컨텐츠로 건너뛰기
검색
조선비즈 언론사 이미지

“HWP에 악성 파일 숨겨 유포”… 北 해커 먹잇감 된 아래아한글

조선비즈 김수정 기자
원문보기

“HWP에 악성 파일 숨겨 유포”… 北 해커 먹잇감 된 아래아한글

속보
신세계아이앤씨 "임직원·협력사 직원 8만여명 정보유출"
일러스트=챗GPT

일러스트=챗GPT



북한을 배후로 하는 해킹 조직이 아래아한글(HWP) 문서에 악성코드를 숨겨 유포한 정황이 포착되면서 HWP의 보안 취약성이 도마 위에 올랐다. 북한 해커들의 HWP 악용 공격은 지난 10년 이상 지속됐는데, 일각에서는 아래아한글의 보안 취약성이 국내 사이버 안보는 물론 한미동맹에도 악영향을 미칠 수 있다는 우려가 제기되고 있다.

26일 보안업계에 따르면 사이버보안 기업 지니언스 시큐리티 센터는 북한 연계 해킹 그룹 ‘APT37’이 HWP에 악성 파일을 숨겨 배포하는 일명 ‘아르테미스(Artemis)’ 공격 정황을 식별했다고 밝혔다. 분석에 따르면 APT37은 수신자의 관심 분야를 고려해 지능적으로 접근하는 ‘스피어 피싱’ 공격으로 파악됐다. 대학 교수를 사칭하며 북한 인권에 관한 국회 토론에 토론자로 참여해달라며 이메일을 보내는가 하면, 국내 주요 방송사 작가를 사칭해 북한 인권과 관련된 인터뷰를 요청하며 대화로 신뢰를 쌓은 뒤 악성코드가 담긴 HWP 파일을 보내는 식이다.

피해자가 메일에 담긴 HWP 파일을 내려받아 문서 속에 첨부된 하이퍼링크를 클릭하면 피해자의 PC가 악성 파일에 감염되는 방식으로 해킹이 이뤄졌다. APT37은 피해자가 링크를 클릭할 때 파일 다운로드 등 정상적인 절차가 시행되는 것처럼 교묘히 꾸며 해킹 의심을 피한 것으로 나타났다. 이 과정에서 해커는 정상 파일 내부에 악성 데이터를 은닉하는 ‘스테가노그래피’와 응용 프로그램 실행 과정에 악성 DLL을 함께 로딩시키는 ‘DLL 사이드 로딩’ 등 복합 기법을 활용해, 보안 프로그램의 탐지를 피했다.

이번 사례로 HWP의 보안 취약성에 대한 우려가 커지고 있다. 보안업계에 따르면 북한은 최소 2013년부터 HWP의 취약점을 악용해 왔다. APT37/ScarCruft, 김수키 등 여러 그룹의 북한 해커들이 집중적으로 HWP를 활용했다. 이는 한국이 HWP 중심 문서 환경을 유지해 온 특수한 구조와 맞닿아 있다. 마이크로소프트(MS) 워드와 어도비(Adobe) PDF가 국제 표준으로 널리 쓰이는 반면, 한국은 HWP를 표준처럼 사용하고 있다. 정부 부처와 국회, 군, 산업계, 학계 등 거의 모든 분야에서 HWP가 사용된다는 점이 취약점 악용의 배경이 된다.

김명주 서울여대 정보보호학과 교수는 “HWP가 MS 오피스보다 본질적으로 (보안에) 더 취약하다고 단정할 수는 없지만, 국내 공공·민간 전반에 걸쳐 사실상 표준처럼 사용되고 있어 북한 해커에겐 매력적인 표적”이라며 “HWP가 해외에서도 사용되는 만큼, 보안 사고가 발생할 경우 글로벌 시장에 영향을 미칠 수 있다”고 했다.

북한 연계 해킹 그룹 ‘APT37’의 공격 시나리오. /지니언스 제공

북한 연계 해킹 그룹 ‘APT37’의 공격 시나리오. /지니언스 제공



기술적인 측면에서도 HWP는 악성코드를 삽입하기가 쉽다는 특성을 지닌다. 해커들은 한글 문서 내부에 OLE(개체 연결 및 포함) 객체를 몰래 삽입해 두는 방식으로 공격을 시도한다. OLE은 문서 안에 이미지나 표, 외부 파일 등을 포함하거나 다른 프로그램과 연동할 수 있도록 하는 기능으로, 정상적인 문서 작성 과정에서 널리 사용된다. 그러나 해커는 이 기능을 악용해 사용자가 문서를 열거나 미리보기를 하는 과정에서 악성코드가 자동으로 실행되도록 설계한다. 이 경우 별도 실행이나 승인 절차 없이도 감염이 이뤄질 수 있어 탐지가 어렵고, 기존 보안 정책을 우회할 가능성이 크다.


HWP의 보안 취약성이 국내 사이버보안을 넘어 한미동맹에도 악영향을 미칠 수 있다는 우려도 제기된다. 미국의 북한 전문매체 38노스(38NORTH)는 북한 해커들이 HWP의 취약점을 오랜 기간 악용해 한미동맹의 상호운용성과 신뢰에 부정적 영향을 미치고 있다고 보도했다. 미국 사이버보안 기업 에이아이 인텔(Aeye Intel)의 페리 최 최고경영자(CEO)는 해당 매체 기고문에서 HWP의 취약성을 보완하는 대대적인 조치가 필요하다고 경고했다. 그는 북한 해커들이 HWP의 약점을 노려 한국 기관뿐 아니라 한미 공동 프로젝트나 동맹 연계 공급망에 침투하는 수단으로 악용하고 있다고 주장했다.

이에 대응하기 위해 현 시점에서 한컴의 지속적인 보안 패치 적용과 사용자 업데이트가 최선의 대응책으로 꼽힌다. 김 교수는 “한컴은 취약점이 확인된 부분에 대해 신속하게 원인을 공개하고, 보안 패치를 포함한 신규 버전을 배포하는 등 적극적인 대응에 나서야 한다”면서 “사용자도 구버전 사용을 최소화하고 즉각적인 업데이트가 필요하다”고 했다.

김수정 기자(revise@chosunbiz.com)

<저작권자 ⓒ ChosunBiz.com, 무단전재 및 재배포 금지>

info icon이 기사의 카테고리는 언론사의 분류를 따릅니다.