“정부 보고서 아녔어?” MS워드 첨부파일 함부로 열면 안되는 이유

KISA, 정부 보고서 위장한 악성메일 주의보
MS 워드 활용해 기술지원이 종료된 IE취약점 노려
“모든 소프트웨어 업데이트 상시 수행 필요”

최근 정부 부처 홈페이지에 게시된 제목을 모방한 악성 메일이 유포되고 있다. 해킹 메일은 인터넷 익스플로러의 취약점을 악용하므로 수시로 소프트웨어를 최신 버전으로 업데이트해야 한다고 당부했다.

27일 한국인터넷진흥원(KISA)은 과학기술정보통신부와 함께 최근 지속적으로 발생했던 정부 보고서 위장 해킹메일 공격사례의 보안 취약점을 상세분석한 보고서를 공개했다.

해당 보고서에 따르면 해킹 공격은 인터넷 익스플로러(IE)의 취약점을 악용해 총 3단계에 걸쳐 진행됐다. 먼저 사용자가 악성 문서(MS워드) 파일을 열면 사용자PC는 공격자 서버로 접속돼, 악성 서식 파일(RTF)이 다운로드 된다. 이어 악성 RTF 파일에 삽입된 인터넷주소(URL)를 통해 공격자 서버에서 또 다른 웹 사이트로 연결되는 악성 HTML 파일이 추가로 다운로드된다.

이때 MS워드에서 HTML파일을 처리하기 위해 인터넷 익스플로러(IE)의 스크립트 엔진(JScript9)을 사용하는데, 해당 엔진의 취약점으로 인해 악성코드가 실행된다.

마이크로스프트(MS)는 해당 취약점을 확인해 지난해 11월에 보안 패치를 발표했지만, KISA는 MS오피스 등 일부 소프트웨어에서 HTML 파일을 실행할 때 여전히 IE HTML 해석 기능을 사용하는 경우가 있어, 언제든 비슷한 형식의 취약점을 악용해 공격이 발생할 수 있다고 경고했다.

KISA는 구 버전의 소프트웨어와 연계돼 사용할 경우, 공격 대상이 될 수 있다며 사용자가 사용하는 모든 소프트웨어를 늘 업데이트받아 최신 버전으로 유지하는 것이 중요하다고 강조했다. 아울러 지속적으로 취약점 분석을 강화해 침해사고에 악용될 수 있는 고위험 취약점을 발굴하고, 피해 예방을 위한 사전 조치를 강화하겠다고 밝혔다.

최광희 KISA 사이버침해대응본부장은 “국가적 재난 상황에서도 사이버 공격은 끊임없이 발생하고 있으며, 해커는 이슈를 악용해 공격하기 때문에 사이버 위협 대응에 긴장의 끈을 놓쳐서는 안된다”며 “KISA는 앞으로도 지속적인 사이버 위협 모니터링을 통해 사이버 공격의 선제적 대응에 힘쓰겠다”고 밝혔다.

【서울=뉴시스】