(주)한글과컴퓨터 업체에서는 증가하는 한컴오피스 제품 취약점을 이용한 악성코드 유포에 선제적으로 대응할 목적으로 악성 문서를 실행할 경우 감염을 유발할 수 있는 행위를 차단할 수 있는 행위 기반 방식의 탐지 보안 모듈을 추가하였습니다.
현재 동적 탐지 보안 모듈이 적용된 제품은 한컴오피스 2014 VP, 한컴오피스 2010 SE+ 제품으로 문서를 오픈할 때 악성코드 검사 기능과 실행 중인 오피스 제품을 실시간 감시하여 악성코드 실행시 차단하는 2가지 행위를 모니터링하고 있습니다.
실제로 최근 한컴오피스 제로데이(0-Day) 보안 취약점을 이용한 사이버 공격에서 한컴오피스 2014 VP 버전에 적용된 동적 탐지 보안 모듈을 통해 효과적으로 차단이 이루어졌다는 소식을 확인한 적이 있습니다.
그런데 일부 한컴오피스 2014 VP, 2010 SE+ 제품 사용자 중에서 한컴오피스 실행 또는 정상적인 문서 오픈시 "실시간 프로세스 검사에서 예기치 않은 취약점 공격이 감지되었습니다. 피해를 방지하기 위해 프로그램을 종료합니다. (오류코드 : 1)" 메시지 창이 생성되어 한컴오피스가 종료되는 증상이 발생하고 있는 것으로 확인되고 있습니다.
해당 증상은 한컴오피스 제품을 노리는 악성코드의 영향으로는 보이지 않으며 행위 기반으로 동작하는 감시 기능이 외부의 다른 정상 프로그램 또는 하위 버전으로 작성된 한글 문서 오픈시 발생하는 것으로 의심되고 있습니다.
이로 인하여 한컴오피스 프로그램 자체를 실행하지 못하여 사용하지 못하는 문제가 있기에 임시적으로 한컴오피스 제품을 사용하기 위한 설정 변경 방법을 알아보도록 하겠습니다.
우선 프로그램 목록의 "한글과컴퓨터 → 한컴오피스 2014 → 한컴 기본 설정" 메뉴를 실행하시기 바랍니다.
생성된 한컴 기본 설정창에서 한컴오피스 제품군의 실행 환경 설정을 위한 "사용자 설정" 버튼을 클릭하시기 바랍니다.
이후 보안 항목에서 체크된 "문서 열 때 악성 코드 검사, 실시간 악성 코드 검사" 항목의 체크를 모두 해제하시고 설정을 하시면 우선적으로 오류 문제는 발생하지 않습니다.
하지만 최근 북한에 의해 진행되고 있는 것으로 알려진 한컴오피스 업데이트 사칭 메일을 통해 악성 파일이 첨부된 이메일이 유포되고 있다는 정보가 있으며, 특정 분야에 소속된 사람을 표적으로 한 악성 문서 공격이 지속적으로 발생한다는 점에서 이번 오류 문제를 위한 임시 해결 방법은 차후 문제가 수정된 업데이트 패치가 공개될 경우에는 반드시 보안 설정을 이전 상태로 변경하시기 바랍니다.