보안성 안전하다더니 PDF 문서 해킹 활용…개인정보 ‘쓱~’
[데일리포스트=장서연 기자] “일반적으로 PDF 형식의 문서 파일은 보안성이 높고 안전하다는 인식이 팽배하다보니 자칫 보안 수칙 준수를 소홀히 하는 경향이 있습니다. 이번 해킹에 활용된 PDF의 취약점은 또 다른 공격에도 사용될 수 있는 만큼 각별한 주의가 요구됩니다.” (ESRC 관계자)
최근 국내에서 악성 PDF 문서 파일을 파고든 지능형지속위협(이하 APT) 공격이 기승을 부리고 있다.
이스트시큐리티 시큐리티대응센터(이하 ESRC)는 최근 새롭게 발견된 해킹 활용 파일인 PDF 취약점 공격은 지난 5월부터 현재까지 국내 외교와 안보, 국방, 통일 분야 전 현직 종사자를 대상으로 집중적으로 이뤄졌다.
대표적인 사례로 이메일에 첨부된 악성 PDF 파일을 국내 특정 사단법인이 주관하는 ‘평화 경제 최고 경영자 과정’ 안내 자료를 사칭해 공격했으며 실제로 파일을 열어보면 관련 안내 자료가 첨부됐다.
하지만 해당 문서를 오픈하는 순간 PDF 파일 내부에 은닉된 스크립트 코드가 작동되며 이 코드는 Base64 형식으로 인코딩된 Shellcode 명령을 실행하고 분리된 코드 단위로 숨겨져 있는 악성 페이로드 파일을 호출하게 된다.
조건에 따라 추가 악성 파일을 설치하게 되고 민감한 개인정보를 탈취하거나 원격제어 등을 통해 다양한 해킹 피해를 일으키고 있다.
이처럼 안전하다고 평가받고 있던 PDF 파일에 악성 바이러스 등을 설치, 해킹을 시도하는 배후로는 북한이 연계된 전문 블랙 해커들로 알려진 ‘탈륨;이 지목되고 있다.
MS 워드 문서 파일의 매크로 기능을 악용한 감염 기법을 주로 활용해왔던 '탈륨'이 최근에는 PDF 취약점을 활용한 기법 변화를 시도한 것으로 추정된다.
한편 이스트시큐리티는 새롭게 발견된 악성 파일을 백신 프로그램 알약(ALYac)에서 탐지할 수 있도록 긴급 업데이트를 완료했으며 피해 확산 방지를 위한 대응 조치를 관련 부처와 긴밀하게 진행하고 있다.
장서연 기자
dpnews@thedailypost.kr