문서 파일을 전자 우편으로 받거나 검색해 파일이 있는 경우 문서를 다운로드하게 됩니다. 받은 문서 파일이나 다운받은 문서 파일은 어떻게 하나요? 대부분이 문서 파일을 열고 문서를 읽게 됩니다. 그리고 문서를 읽다가 링크가 있다면 한 번 클릭합니다. 웹 서핑을 하다가도 링크가 보이면 링크를 클릭하듯이 문서에도 링크가 있으면 무엇일까하는 호기심이 클릭을 하게 만듭니다.
그런데 아무 의심없이 열게되는 문서 파일에 악성 코드가 숨겨져 있어 주의를 요한다는 기사가 나왔네요. 문서를 열 때 조심하라는 이야기는 이미 오래 전부터 나왔던 이야기입니다. 이미 마이크로소프트의 오피스에는 매크로 기능이 포함되어 있어서 문서를 열면서 바로 특정한 매크로가 실행되게할 수 있습니다. 매크로 기능이 문서에만 영향을 주는 것이 아니라 시스템에 영향을 주는 것도 있어서 문서가 손상되는 것뿐만 아니라 파일일 지우고 정보를 취합할 수 있는 등 아주 위험한 작업까지 가능합니다. 그래서 요즈음 오피스에서 문서를 열면 매크로가 포함된 경고 문구가 뜨긴 합니다만 당연히 매크로가 포함되어 있을 것이라(엑셀의 경우 매크로로 많은 작업을 하기 때문에) 바로 매크로가 실행되도록 열 수도 있습니다.
오늘 전자신문 기사에는 오피스의 보안 취약점이 급증하고 있다는 내용과 MS 오피스뿐만 아니라 오픈 오피스도 위험하고 심지어 문서 작성용이 아닌 보관용 프로그램인 Adobe Acrobat PDF 문서도 보안 위험이 있다고 하네요. 솔직히 어도브의 애크로벳의 PDF에서 보안 취약점으로 인하여 해커가 공격할 수 있다는 것은 조금 의외네요.
다음은 전자 신문의 내용입니다.
‘문서 파일을 조심하라!’
과거 주로 운용체계(OS)나 시스템, 네트워크 취약점을 노렸던 해커들이 오피스나 PDF 등 문서 파일의 취약점을 악용한 공격을 늘리고 있어 주의가 요구된다.
이렇게 문서 파일에 대한 취약점이 급증한 것은 사용자들이 exe 등 실행파일과 달리 문서 파일이 첨부된 e메일은 의심 없이 열어보기 때문이다. 해커들은 문서파일을 안전하다는 인식이 있는 PC사용자들을 노려 실행파일 대신 문서파일 안에 악성코드를 심어 배포하고 있다. 특히, 오피스 취약점들은 대부분 취약점이 발표됨과 동시에 공격이 이뤄지는 제로데이(Zero-Day) 공격에 자주 사용되고 있어 주의가 필요하다.
◇MS오피스 취약점 급증=마이크로소프트 오피스 취약점은 2006년 상반기부터 나타나기 시작해 지난 9월까지 총 25건이나 발견됐다. 2006년 9월 오피스 관련 보안 패치는 1개에서 10월에는 4개로 늘었다. 또 올 들어 오피스 관련 취약점이 1월(3개), 2월(2개), 5월(3개), 7월(2개), 8월(1개)로 꾸준히 늘고 있다.
MS에서 매달 6∼8개 정도의 패치를 발표하는 것을 감안하면 오피스 관련 취약점의 급증은 이례적이다. 외국뿐만 아니라 국내에서도 MS오피스 취약점을 이용한 공격이 발생하고 있는데 이 공격은 주로 특정 목적을 갖고 수행되고 있다. 해커들은 오피스 파일 내부에 악성코드를 삽입하는데 주로 트로이목마나 다운로더 형태를 이용한다. 이를 통해 개인 및 기업의 민감한 정보를 빼돌리고 있다.
◇오픈 오피스도 위험=MS 오피스 뿐만 아니라 공개소프트웨어인 오픈 오피스에서도 취약점이 늘고 있다. 오픈오피스 프로그램은 선 마이크로시스템즈에서 개발한 스타오피스에 기반을 하고 있으며 최근 사용자가 늘면서 해커들의 표적이 되고 있다.
지난 5월 오픈오피스의 매크로 취약점을 이용한 최초의 악성코드 SB/BadBunny-A가 발견됐다. 이어 9월에는 TIFF취약점이 발표됐는데 이미지 파일 디렉터리에서 해커가 관리자 권한을 획득할 수 있는 내용이다. 특히, 오픈 오피스는 운용체계에 상관없이 리눅스·윈도·솔라리스·맥 등에서 모두 동작함으로 취약점을 빠르게 패치하지 않으면 피해가 더욱 커질 수 있다.
◇어도비 애크로뱃도 예외없어=최근 어도비시스템즈의 애크로뱃에서는 제로데이 공격이 가능한 심각한 보안 취약점이 나타났다. 이 취약성은 ‘%’ 혹은 ‘%xx’과 같이 부적절하게 인코딩된 문자가 포함된 인터넷 연결 주소(URL)를 애크로뱃과 애크로뱃리더가 잘못 처리해 발생한다. 사용자는 이 취약성으로 인해 해커가 만든 PDF 문서를 읽는 것만으로도 PC권한을 해커에게 넘겨줄 수 있다.
박형근 한국IBM 티볼리 보안 컨설턴트는 “특히 문서 배포와 공유에 있어 널리 사용되고 있는 PDF에서 발견된 이 취약점은 위험도만큼이나 그 영향이 매우 크다”며 “인터넷·메일·P2P 등을 통해 입수된 출처를 알지 못하는 PDF 첨부문서에 대해서는 주의를 기울여야 한다”고 당부했다.