2015년 12월 다수의 Excel 문서가 포함된 압축 파일을 첨부하여 메일 문의가 들어왔고, 내용인즉 국내 모 Excel 커뮤니티의 강좌 게시판에 등록된 Excel 문서를 다운로드했는데 다수의 백신에서 진단하기에 국내 보안 업체와 저에게 문의를 하신 듯합니다.
해당 커뮤니티를 살펴보면 2013년 4월경 바이러스에 감염된 파일로 인하여 강좌 게시판을 임시 폐쇄한다는 공지를 확인할 수 있었습니다.
첨부 파일로 수신된 Excel 문서(AhnLab V3 : HEUR/Iframe, 알약(ALYac) : Trojan.Iframe.LI, Kaspersky : Trojan.HTML.IFrame.ej)를 확인해보면 함수 관련된 문서이며 테스트 당시에는 문서를 오픈한다고 악의적인 행위는 발견되지 않고 있습니다.
- h**p://www.ro521.com/test.htm
다수의 백신에서 진단되는 Excel 문서의 코드를 확인해보면 중국(China)쪽으로 추정되는 악성 iFrame이 다수 추가되어 있는 것을 알 수 있으며, 이를 통해 Excel 문서를 오픈할 경우 자동으로 해당 URL 페이지로 연결되어 취약점을 이용한 코드 실행이 가능하였을 것으로 추정됩니다.
해당 URL 주소를 기반으로 확인을 해보면 2011년 전후부터 제로보드 게시판의 취약점을 통해 자동으로 서버에 등록된 파일에 악성 iFrame 추가를 통해 악의적인 기능을 수행하는 악성코드 유포 행위가 활발하였던 것으로 보입니다.
비록 현재는 해당 URL 주소가 정상적으로 연결되지 않기 때문에 문서를 오픈한다고 문제가 되는 것은 아니지만 문의하신 분이 언급한 커뮤니티와 같이 관리가 부실한 사이트의 경우에는 몇 년이 지나도 악성코드가 삽입된 문서가 여전히 노출되어 있는 문제가 있습니다.