2025년 해커들의 MS 오피스 활용 공격, 어떻게 대비할 것인가?
안녕하세요, 여러분! 오늘은 2025년에도 여전히 활발하게 사용되는 마이크로소프트 오피스 기반의 해킹 공격들에 대해 이야기해 보려 합니다. 해커들은 여전히 워드와 엑셀 같은 오피스 문서를 악성 소프트웨어를 전파하는 용도로 활용하고 있는데요, 그 중 주요한 세 가지 공격을 함께 살펴보고 이에 어떻게 대비할 수 있을지 알아보겠습니다.
1. 여전히 빈번한 피싱 공격
피싱 공격은 변하지 않는 해커들의 최애 전략 중 하나입니다. 특히 마이크로소프트 오피스 파일을 이용한 피싱은 직장 문서로 가장하여 사용자를 속이기 용이하죠. 위조된 송장, 공유된 보고서, 구직 제안서 등과 같이 그럴 듯한 문서를 첨부하여 사용자가 이를 열도록 유도합니다. 대표적으로는 마이크로소프트 365 로그인을 가장한 가짜 포털로 연결되는 링크가 첨부되어 있을 수 있습니다. 이들이 목표로 하는 것은 주로 로그인 정보 탈취입니다.
최근에는 QR 코드도 문서에 삽입되어 스마트폰으로 스캔할 경우 피싱 사이트로 연결되거나 악성 소프트웨어 다운로드를 촉진하기도 합니다. 이러한 공격들을 방지하기 위해, 의심스러운 파일들은 ANY.RUN과 같은 도구를 활용해 안전한 환경에서 검토하는 것이 중요합니다.
2. 오래된 취약점의 집요함 – CVE-2017-11882
2017년에 발견된 CVE-2017-11882 취약점은 오래된 오피스 버전에서 여전히 문제로 남아 있습니다. 마이크로소프트 Equation Editor의 결함을 악용하는 이 방식은 문서가 열리기만 하면 공격이 시작되기 때문에 치명적입니다. 매크로나 추가 클릭 없이도 실행되기 때문에 구형 시스템에서 여전히 위협적인 존재입니다.
이 취약점을 이용해 정보 절취 도구인 Agent Tesla와 같은 악성 코드를 배포하는 경우가 자주 발견되며, 이는 키스트로크, 로그인 정보, 클립보드 데이터를 수집합니다. 시스템을 최신 버전으로 업데이트하고, 매크로 비활성화 등의 기본 보안을 유지하는 것이 필수적입니다.
3. 끈질긴 Follina 공격 – CVE-2022-30190
Follina 취약점(CVE-2022-30190)은 사용자 상호작용 없이도 공격을 실행할 수 있어 최근까지도 많이 이용되고 있습니다. 이 공격은 마이크로소프트 지원 진단 도구(MSDT)를 악용하여 원격 코드를 실행합니다. 그냥 파일을 여는 것만으로도 공격이 시작되어 파워셸 기반의 악성 스크립트가 실행되며, 원격 명령 및 제어 서버에 연결됩니다.
Follina는 이미지 파일 안에 악성 코드를 숨기는 스테가노그래피를 사용할 수 있어 더욱 교묘한 공격을 펼칠 수 있습니다. 보안팀은 최신 공격 기법을 주의 깊게 모니터링하고 대응 준비를 갖춰야 합니다.
조직의 오피스 활용 방안
여러분의 팀이 오피스를 주로 사용한다면, 위의 공격들은 경각심을 불러일으킬 수 있습니다. 오피스 사용하는 과정에서 몇 가지 주의사항을 마련해야 합니다:
- 오피스 문서 처리 프로세스를 재점검하고, 외부 출처 파일 열람을 제한합니다.
- 의심스러운 파일은 ANY.RUN과 같은 툴을 활용하여 독립된 환경에서 검사합니다.
- 오피스 소프트웨어를 정기적으로 업데이트하고, 매크로 및 레거시 기능을 비활성화합니다.
- 오피스 포맷에 연관된 새로운 공격 기법에 대한 최신 정보를 습득하여 빠르게 대응할 수 있도록 준비합니다.
이런 철저한 보안 대비가 여러분의 조직이 오피스 기반 사이버 위협으로부터 안전할 수 있도록 도와줄 것입니다.
앞으로도 보안 관련 최신 소식을 지속적으로 확인하며 대비책을 강화하는 것을 추천드립니다. 항상 안전을 우선시하는 멋진 주간 보내시길 바랍니다!
