최근 워드문서로 위장한 악성코드가 특정 경로(카카오톡 단체 대화방)를 중심으로 유포되고 있어 사용자의 각별한 주의가 요구 됩니다.

보안 전문업체 ‘안랩’에 따르면 해당 워드문서에 사용된 URL이 정상 URL과 매우 정교하게 유사하게 구성되어 있어 사용자가 쉽게 인지하기 어렵다고 확인 하였습니다.

현재까지 확인된 악성 워드문서 파일명은 아래와 같으며 파일 명에서 확인되는 내국인의 경우 외교 안보 분야의 전문가로 대북, 대중, 설문지, 외교안보와 관련된 특징을 지니고 있습니다.

[표] 악성 워드문서 파일명

위의 파일들은 모두 OOXML(Office Open XML) 포맷을 가진 워드문서로 Template Injection 기능을 공격에 활용하고 있으며 해당 악성문서에 사용된 외부 링크 주소가 정상 URL의 유사성이 매우 높은 방식으로 구성되어 있어 사용자가 식별하기 어렵다는 특징을 나타내고 있습니다.

[표] 정상 · 악성 URL 비교

수집된 일부 워드 문서의 속성을 통해 해당 악성문서가 짧은 간격으로 수 일에 걸쳐 무분별하게 생산 및 배포되고 있는 것을 확인 할 수 있으며 사용자가 해당 URL을 활성화 하게 되면 개인정보 유출 및 2차 피해가 발생할 수 있어 각별한 주의가 요구됩니다.

[그림] 악성 워드 문서 속성

이러한 악성 워드문서에 속아 사용자의 중요 정보가 공격자에게 유출되어 2차 피해가 발생할 수 있기 때문에 발신자가 불분명하거나 의심스러운 이메일 및 채팅방에 포함된 첨부파일 열람을 지양하고 첨부된 문서파일 열람 시 [콘텐츠 사용] 기능을 활성화 하지 않아야 합니다.