WMF 트로이목마 제작 툴 발견

WMF 취약점 이용, Exploit 제작 프로그램 추가 발견

지오트 바이러스 분석실(GCERT)에 따르면 “WMF 취약점을 이용한 악성프로그램 유포를 모니터링 과정에서 여러 외국 웹사이트에서 추가적으로 트로이목마를 발견했으며, WMF 취약점을 이용하는 Exploit 제작 프로그램도 추가 발견했다”고 발표했다.

이 제작프로그램은 중국에서 제작된 것으로 추정되며, 아래와 같은 방식으로 WMF 파일을 생성한다.

지오트 관계자에 따르면 “웹에 링크되는 파일이 아닌 로컬 컴퓨터의 윈도우 폴더에 있는 노트패드 프로그램을 연결시켜 모의로 테스트 해 본 결과 정상적으로 시스템폴더에 a.exe 라는 파일로 노트패드 프로그램을 생성하는 것을 확인했다”고 전했다.

먼저 C 드라이브 루트에 test_wmf.exe 라는 생성기를 놓아두고, 취약점을 통해서 설치되는 파일을 URL 이 아닌 notepad.exe 로 링크하였다.

실제로는 특정 웹사이트의 파일을 링크시킨다.

정상적으로 프로그램이 완료된다.

C 드라이브에 exploit.wmf 라는 파일명으로 WMF 익스플로잇 코드가 생성된다.

보안취약점으로 exploit.wmf 가 실행되면 시스템폴더에 a.exe 라는 이름으로 노트패드 프로그램이 생성된다.

지오트 관계자는 “악의적인 의도를 가진 사람이 이 프로그램을 이용하면 특정 웹사이트에서 어떠한 악성프로그램(웜, 바이러스, 트로이목마등)도 사용자 몰래 설치할 수 있기 때문에 사용자들의 각별한 주의가 요망된다”고 당부했다.

Exploit.Win32.IMG-WMF.s 분석 정보

[길민권 기자(is21@infothe.com)]

AI 및 AI 보안 솔루션이 보안 인력의 업무에 어떤 식으로 영향을 미칠것이라고 생각하시나요
	부족한 인력 보충: 만성적인 인력 부족 문제를 해결하는 보완재 역할을 하고 있다(100% 대체는 불가)
	업무 영역의 분리: AI는 대량 데이터 처리를, 전문가는 고도의 전략적 판단을 맡는 등 역할이 완전히 다르다
	업무 총량의 전이: 단순 업무는 줄었으나, AI 모델 관리·검증 등 새로운 형태의 운영 업무가 발생해 전체 업무량은 비슷하다
	인력 대체 가능: 단순 반복 업무를 넘어 분석/판단 영역까지 대체하여 인력을 줄일 수 있다
	신뢰도 부족: 아직은 AI의 오탐이나 환각(Hallucination) 우려로 인해 사람이 일일이 재검토해야 하므로 실질적인 도움은 적다