Microsoft는 운영체제 Windows 시리즈 외에도, 회심의 아이템 Microsoft Office 시리즈가 있다. 문서 작업의 대표 소프트웨어 워드, 발표문서 및 워드의 기능까지 갖춘 MS Office의 꽃 파워포인트, 스프레드시트 소프트웨어 치곤 정말 다양한 곳에서 쓰이는 엑셀 등 그 종류에 따라 쓰임새도 다 다르다. MS Office는 기업의 생산성과 관련되기 때문에 업무의 질적 향상을 위해서도 많이 쓰인다. 어느 회사, 단체든 널리 사용되기도 하며, Microsoft(MS) Office를 대체할 소프트웨어가 등장했음에도 불구하고, 생산성 제품의 소프트웨어로 독보적 1위 위치에 자리매김하고 있다.^[1] 아마도, 오랫동안 사용된 제품으로 이미 가정, 회사 등 MS Office가 깊게 자리 잡고 있기 때문이라 생각한다. 이렇게 광범위하게 사용되기 때문에 MS Office는 악의적인 수단, 용도로도 많이 사용된다.^[2] 몇 달 전에도 MS Office 워드가 이와 같은 용도로 사용되어 패치를 했었는데, 최근 비슷한 공격 사례가 파워포인트를 이용하여 또 발생하였으니 오늘은 이에 관해 이야기해볼까 한다.^[3]

지난 4월, Microsoft는 CVE-2017-0199 취약점을 이용한 공격을 패치 하였다.^[4] 이 공격은 온라인 뱅킹을 노리는 악성코드, DRIDEX를 퍼트릴 목적으로, 주로 메일을 통해 퍼져 나갔다.^[5] 메일에 첨부된 파일은 MS Office의 Word파일로 악의적인 코드가 추가된 형태의 파일이었고, 사용자가 이를 실행하는 순간 시스템에 DRIDEX가 설치되었다.^[6] 즉, 사용자는 피싱 메일을 통해 악의적으로 조작된 워드 파일을 받게 되고, 이를 실행하는 순간 컴퓨터에는 사용자의 온라인 뱅킹을 노리는 악성코드가 설치되었다.

공격은 MS Office가 악의적인 파일을 구문 분석하면서 생기는 취약점(CVE-2017-0199)을 이용한 공격으로, 이를 통해 원격 코드가 실행되었다.^[7] 공격자가 원격 코드를 실행한다는 것은 사용자 권한으로 파일을 설치하거나 새로운 계정을 만들 수도 있고, 데이터를 수집, 변경, 삭제도 하는 등 시스템을 제어할 수 있다. 이 취약점을 이용하여 공격하기 위해서는 사용자가 악의적으로 조작된 파일을 MS Office로 실행하거나 미리 볼 수 있어야 한다.이때문에 공격자는 메일을 이용하여 사용자가 파일을 열거나 미리 볼 수 있도록 유도하여 취약점을 악용할 수 있다.^[8] 이 취약점을 이용한 공격은 MS Office 외에도 워드 패드로도 공격할 수 있고, 특히 MS Office를 통해 많은 공격이 이루어졌다. 하지만 해당 취약점은 2017년 4월 Microsoft에서 업데이트하며 패치 되었다.^[9]

당시, 이 취약점을 통해 공격한 사례 중 하나가 MS Office Word를 이용한 공격이었다.^[10] 이 공격은 워드 파일에 악의적인 OLE2link 개체를 포함해 메일을 통해 여러 사용자에게 보내졌다. 사용자가 문서를 실행하면 winword.exe 프로세스가 실행되고, 원격 서버에 HTTP 요청을 보냈다. 서버에 연결되면 winword.exe 프로세스는 RTF 파일로 보이는 악의적인 .hta 파일을 로드했다. 보안 제품을 피하려고 RTF 파일로 위장된 .hta 파일의 뒷부분에는 Visual Basic으로 된 악성 스크립트가 존재한다. 이 악성 스크립트는 Microsoft HTA 응용 프로그램을 통해 로드하고 실행되는데, 이때, 악성 스크립트는 처음 실행된 winword.exe 프로세스를 종료한다. 이는 OLE2link에 의해 생성된 사용자 프롬프트를 숨기기 위한 것으로 흔적을 지운 것이다. 이어서 악성 스크립트는 추가 페이로드를 다운로드 한 후, 사용자에게 보이는 문서를 로드하여 정상적인 파일처럼 보이도록 하였다. 다운로드 된 페이로드는 사용자 시스템에 DRIDEX 악성코드를 설치하고, 사용자의 온라인 뱅킹 사용을 기다렸다.^[11] 정리하자면, 이는 논리적인 버그를 이용한 공격으로 공격자에게 Microsoft에서 개발한 메모리 기반 보안 정책을 우회할 수 있는 권한을 부여했다.^[12] 사실 이 취약점은 2016년 10월에 처음 발견되어 지난 4월에 패치 되었다.^[13] 패치 될 때쯤, 당시 여러 사용자에게 이미 많은 악성 워드 파일이 전달된 것으로 알려졌는데, 이 문서 파일은 메일을 통해 해외를 중심으로 4월 10~11일 동안 전 세계 80만 통 정도 뿌려졌다고 한다^.[14] 또한, 보안 업체인 파이어아이(FireEye)와 넷츠코프(Netskope)가 공개한 블로그 포스트에 따르면, 해커들은 같은 워드 취약점을 이용하여 각각 Latentbot과 Godzilla에 악성 코드를 설치했다고 한다.^[15] 이 공격은 Microsoft에서 개발한 대부분의 보호 기능을 우회할 수 있으며^[16], 보안 회사 Optiv의 Ryan Hanson에 따르면, 특별한 경우에는 Protected View가 실행되고 있어도 악성코드를 실행할 수 있다고 한다.^[17] McAfee는 보안패치와 함께 의심스러운 Office 파일은 실행하지 않고, Office Protected View가 실행되도록 설정하라는 방안을 제시했다.^[18]

하지만 최근 이와 비슷한 공격이 다시 일어났다. 최근에 나타난 공격은 워드가 아닌 파워포인트 슬라이드 쇼를 이용하는 것으로 4월에 발생한 공격과 흡사하였다.^[19] 똑같은 원리의 공격이 다시 들어왔음에도 다시 한 번 이슈가 된 것은 4월 이후로 패치가 되지 않은 컴퓨터가 존재한다는 것이고, 현재 이러한 악의적인 파워포인트 파일이 네트워크상에서 돌고 있으니 조심하라는 당부다.

공격은 마찬가지로 메일을 통해 이뤄졌으며, 사용자의 시스템에 원격 액세스 도구를 설치했다. 이 공격은 전자와 관련된 회사를 주 대상으로 하였으며, 일반적으로 비즈니스 파트너가 보낸 것처럼 꾸며 합법적인 메일로 위장했다. 메일 내용은 상품 주문 요청에 대한 언급과 악의적으로 첨부된 파워포인트 파일이었다.^[20] 사용자는 대다수 메일을 읽고 파워포인트의 쇼 파일인 PPSX 파일을 실행하였고^[21] 이때, 파워포인트의 쇼 애니메이션 기능을 이용하여 악의적인 페이로드를 실행되었다. 실행된 페이로드는 C&C 서버에 연결하여 사용하는 REMCOS 원격 액세스 도구의 트로이 목마였다.^[22] 본래, REMCOS RAT는 합법적인 프로그램으로 사용자 정의가 가능한 원격 액세스 도구다. 이 도구를 사용하면 사용자가 전 세계 어디에 있든지 원격으로 명령을 내리고 시스템을 제어할 수 있다.^[23]

이처럼 사용자가 메일에서 파일을 실행하거나 링크를 클릭할 때에는 주의가 필요하다. 더욱이, 지인이나 비즈니스 파트너처럼 꾸며 보내는 메일인 스피어 피싱은 다소 정교하여 쉽게 구분하기도 어렵다.^[24] 특히나, 이번 사건에서 볼 수 있듯이 대부분 사용자가 의심 없이 악성 파일을 다운로드하는 경우도 허다하다. 이 사건 외에도 요즘에는 피싱 메일이 판을 치는 것 같다.^[25][26] 고로, 피싱 공격에 대한 적절한 보호 기술을 구현하여, 메일을 통해 들어오는 첨부된 파일에 악의적인 코드가 담겨 있는지 확인하는 기술이 필요하지 않을까 한다. 또한, 사용자는 항상 최신 보안 업데이트로 시스템을 유지하는 것도 중요하다. 최근 들어 이 사건이 다시 언급된 가장 큰 원인은 업데이트되어있지 않았기 때문이다. 만약 MS가 처음 발표한 4월에 이미 업데이트를 했었다면 이러한 공격이 오더라도 이렇게 언급되지는 않았을 것이다. 아, 이 얼마나 정기적인 업데이트가 중요하다는 얘긴가. 아무튼, 해당 사건은 이미 과거에 발생했음에도 불구하고 비슷하게 발생했다는 점과 피싱 메일의 위험성을 잘 알려주는 사건으로 보인다.