지난 10월 27일 페리 최(Perry Choi) 명의로 실린 보고서 제목은 ‘공격 표면으로서의 HWP: 한컴의 한글 워드프로세서가 미국의 동맹국으로서 한국의 사이버 태세에 갖는 의미(HWP as an Attack Surface: What Hancom’s Hangul Word Processor Means for South Korea’s Cyber Posture as a US Ally)’로, 한국이 사실상 한글 문서에 과도하게 의존하는 현실이 북한의 지속적인 사이버 공격 통로가 되고 있다고 지적했다.
보고서는 외국에서는 한글 파일이 단순 문서로 보일 수 있지만, 한국에서는 정부 부처, 군, 공공기관, 국회, 방산업체, 통신·금융 등 거의 전 부문에서 HWP가 표준처럼 쓰이고 있어 한 번 뚫리면 피해 범위가 커질 수 있다고 지적했다.
이 때문에 HWP는 한국 내부 보안 문제를 넘어 한미 간 시스템 연동성(interoperability)과 작전 신뢰(operational trust)에도 영향을 미치는 요소가 됐다는 설명이다.
특히 한국 측 네트워크가 HWP 기반 공격으로 흔들리면 주한미군(USFK)의 작전 준비태세가 떨어질 수 있고, 이는 대만 등 인도·태평양 위기 상황에서 미국의 대응 여력을 제약할 수 있다고 경고했다.
38노스는 북한이 2013년 이후 지금까지 HWP 취약점을 반복적으로 사용해 왔다고 짚었다.
2013~2014년에는 스피어피싱으로 악성 HWP를 보내 ROKRAT 백도어를 심었고, 2015년에는 hwpapp.dll의 타입 혼동 취약점(CVE~2015~6585)을 이용해 원격코드 실행을 시도했다.
2017~2019년에는 시스코 탈로스가 공개한 한컴오피스 파싱 오류를 악용했고, 2020~2022년에는 APT37과 Kimsuky가 HWord XML 버퍼 언더플로우(CVE~2022~33896) 등을 활용했다.
2023~2025년에도 한국어 문서를 미끼로 한 피싱 캠페인이 이어졌다고 소개했다.
공통점은 한국에서 신뢰받는 HWP 포맷을 그대로 무기화했다는 점이다.
또, HWP 취약점이 동맹에 주는 위험을 세 가지로 분류했다. 첫째 연합훈련과 공동계획 과정에서 문서 교환 자체가 감염 경로가 될 수 있는 상호운용성 위험이다. 둘째 한국 방산업체가 HWP로 작성한 문서가 미국 방산 네트워크나 공동 조달 사업으로 유입될 때 생기는 공급망 노출 위험이다. 셋째는 이런 공격이 반복되면 한국의 사이버 역량에 대한 미국의 신뢰가 떨어져 실제 작전 협력이 위축될 수 있다는 점이다.
단순 패치로는 부족…38노스 ‘CDR·SLA·공동 문서 기준’ 제안
38노스는 “이 문제는 패치만으로 풀 수 없다”며 다층적 대응을 주문했다.
한컴오피스에서 위험도가 높은 PostScript·EPS 기능(문서 안에 이미지나 그래픽 데이터를 삽입하거나 렌더링하기 위해 사용되는 코드 기반 기능)을 기본 차단하거나 샌드박스로 실행하도록 하고, 메일 게이트웨이에서 들어오는 HWP·HWPX 문서를 CDR(내용 무해화·재구성)로 자동 변환해 열기 전 변환(Conversion-before-open)을 강제해야 한다고 했다.
아울러 한컴 보안 업데이트는 72시간 이내 적용하도록 정부 차원의 서비스준수협약(SLA)을 두고, 한미 양국의 CERT(사이버침해사고 대응팀)가 북한 해킹 전술(TTP)을 공동으로 공유하는 문서 보안 기준을 마련해야 한다고 제안했다.
연합 문서 교환 포맷을 PDF/A나 OOXML(마이크로소프트가 만든 개방형 문서포맷)로 통일하자는 제안도 포함됐다.
보고서는 한국이 자국에서만 널리 쓰이는 HWP 포맷에 지나치게 의존한 결과, 단 한 개의 취약 파일이 동맹 전체의 사이버 리스크로 확산될 수 있는 구조를 만들었다고 지적했다.
다만 우리 정부가한컴에 보안 강화를 요구하고, 공공기관이 기본 정책으로 CDR(내용 무해화)을 도입하며, 한미가 문서 처리 기준을 맞춰간다면 이 약점을 오히려 복원력 강화 사례로 바꿀 수 있다고 봤다. HWP 문제를 정면으로 다루는 것이 한국이 신뢰받는 동맹국으로 남는 길이라는 것이다.
