공격 표면으로서의 HWP: 한컴 ‘한글’ 워드프로세서가 미국 동맹국으로서 한국의 사이버 태세에 의미하는 것

• 작성: Perry Choi
• 2025년 10월 27일
• 군사 문제, 대한민국

한미 동맹은 중대한 갈림길에 서 있다. 최근의 전개—미중 간 무역 관세 협상 갈등에서부터 조지아주에서의 이민세관단속국(ICE)의 한국인 노동자 체포에 이르기까지—는 양국 국민과 정책결정자들로 하여금 ‘혈맹’이 실제로 무엇을 의미하는지 다시 생각하게 만들었다. 주목도 높은 사건이 헤드라인을 장식하지만, 동맹의 내구성은 보이지 않는 디테일에 똑같이 의존한다. 흔히 간과되지만 이러한 세부들은 회복력 있는 파트너십을 구성하는 기본 단위다. 급변하는 지정학의 압박을 견뎌내려면 동맹은 끊임없이 진화하며, 요소 하나하나를 강화해 나가야 한다.

사이버보안은 자주 과소평가되지만 그중에서도 결정적인 요소다. 10년이 넘는 기간 동안 북한 작전세력은 한컴오피스가 생성하는 한글 워드프로세서(HWP) 형식이라는, 한국에 특유한 취약점을 악용해 왔다. 한국 밖의 관찰자에게 파일 형식은 전략적 우려의 원천으로 보이지 않을 수 있다. 그러나 한국 내에서 HWP는 정부 부처, 군, 주요 산업, 학계를 가로지르는 사실상의 표준으로 남아 있다. 이러한 깊은 의존은 HWP를 지속적인 공격 벡터로 바꿔 놓았고—이는 점점 한국 국내 보안을 넘어, 한미 동맹의 핵심인 상호운용성과 신뢰에까지 함의를 갖게 되었다.

더 나아가 미측 관점에서 HWP 취약점은 보다 광범위한 역내 방위 계획의 약한 고리를 부각시킨다. 주한미군(USFK)의 효율성은 대한민국 방어뿐 아니라 대만에 대한 공격 억제를 위한 미군 전체 태세에서도 핵심 변수다. 만약 HWP의 지속적 악용을 통해 한국의 네트워크가 침해된다면, 주한미군의 작전 준비태세가 저하되어 대만 위기에서 워싱턴의 기동성에 제약을 줄 수 있다. 이런 의미에서 겉보기에는 지역 소프트웨어 문제로 보이는 사안이 동맹의 신뢰성과 인도-태평양 전반의 억제력에 직결되는 함의를 지닌다.

본 기사는 동맹 회복력이 이제 병력 태세만큼이나 ‘포맷 하드닝(format hardening)’에 달려 있다고 주장한다. 서울과 워싱턴은 HWP를 단순한 기술적 불편이 아니라 작전상 취약점으로 다뤄야 한다. 더 안전한 기본 설정, 더 신속한 패칭, 공유되는 문서 보안 표준을 통해 이 한 가닥의 연결고리만 강하게 만들어도, 한미 동맹이 바이트(byte) 단위부터 현대화할 수 있음을 강력히 시사할 수 있다.

왜 HWP가 한국에서—그리고 적대 세력에게—중요한가

마이크로소프트 워드와 어도비 PDF 형식이 타국을 지배하는 반면, 한국에서는 HWP가 어디에나 있다. 정부 부처, 국회, 군, 통신·금융 등 주요 산업, 심지어 방산업체와 학계에 이르기까지 폭넓게 사용된다. 이러한 의존은 ‘표적이 풍부한 환경’을 만든다. 적대자는 악성 HWP 첨부파일이 거의 확실하게 수신자에 의해 열릴 것이라 자신할 수 있다. 이러한 확실성은 북한 작전세력이 국내 기관은 물론, 합동 프로젝트와 동맹 연계 공급망에 접근하기 위해 이 형식을 매력적으로 느끼게 만든다.

악용 기록: 지속적 남용의 연대기

북한의 작전 캠페인은 적어도 2013년 이래 반복적으로 HWP를 악용해 왔다. 이들 캠페인은 정치적·군사적 긴장이 고조되는 순간과 빈번히 맞물렸고, 기술적 취약점이 더 넓은 전략 환경을 좌우하는 수단으로 무기화될 수 있음을 보여 준다. 주요 사례는 다음과 같다.

2013–2014

• 스피어피싱을 통해 전달된 악성 HWP 파일이 임베디드 PostScript/EPS 콘텐츠를 악용해 ROKRAT 백도어를 설치. 기술 분석: Trend Micro. 표적은 주로 한국의 싱크탱크와 국방 연구자였으며, 유인 문서는 통일·안보정책 관련 주제가 많았다.

2015

• CVE-2015-6585: FireEye가 발견한 _hwpapp.dll/HWPX_의 타입 컨퓨전(type confusion) 버그로, 신뢰도 높은 원격 코드 실행을 가능케 함. 한국 공공 부문 사용자를 겨냥한 표적 공격에서 악용됨.

2017–2019

• Cisco Talos가 공개한 한컴오피스/HWord 다중 파싱 결함으로, 조작된 문서가 임의 코드를 실행할 수 있었음. 관련 사례는 Talos의 광범위한 색인 참조.

2020–2022

• CVE-2020-7882 (한컴 구성 요소의 경로 탐색 취약점).
• CVE-2022-33896 (HWord XML 파싱의 버퍼 언더플로). Cisco Talos도 추적. 두 취약점 모두 APT37과 킴수키(Kimsuky)를 포함한 북한 클러스터에 의해 악용됨.

2023–2025

• Securonix가 문서화한 캠페인(DEEP#DRIVE, DEEP#GOSU) 등 한국어 유인을 활용한 피싱 활동이 지속.
• 북한 그룹 APT37/ScarCruft는 Seqrite의 “Operation HanKook Phantom”과 The Hacker News가 요약한 바와 같이 ROKRAT 및 관련 임플란트를 계속 배포.

적대 세력: 누가 HWP를 악용하는가

북한의 공격적 사이버 조직은 단일체가 아니다. 도구, 인프라, 심지어 개발자를 공유하기도 하는 특화된 클러스터의 성좌에 가깝다. 내부 경쟁과 지휘 구조 변화에도 불구하고, 이들 집단은 한국 네트워크로의 확실한 진입점을 제공하는 HWP 악용이라는 한 가지 전술에서 수렴한다. 아래 행위자들은 그 캠페인의 주요 주체로, 평양의 광범위한 정보 생태계의 서로 다른 단면을 보여 준다.

• APT37/ScarCruft: 정교한 제로데이 사용으로 알려졌으며, 오랫동안 한국의 국방, 항공우주, 정책 기관에 초점을 맞춰 왔다. MITRE ATT&CK Group G0067에 기법과 표적의 종합 프로파일이 수록되어 있다.
• Kimsuky: 언론인, 학자, 정책 연구기관을 겨냥하며 한국어 HWP 유인을 빈번히 사용하는 북한의 대표적 스파이 클러스터. MITRE ATT&CK Group G0094와 합동 정부 경보(2023년 CSA; 2024년 CSA)에 포괄적으로 문서화됨.
• 기타 북한 연계 운영자: ROKRAT 변종과 기타 맞춤형 임플란트가 작전 전반에서 반복적으로 관찰되었다. 예컨대 “Hangman” 백도어는 CVE-2015-6585 악용과 연계되었는데, 이는 오래된 취약점이 복구 이후에도 수년간 재활용됨을 보여 준다.

이 모든 위협 행위자는 동일한 원리를 악용한다. 즉, 신뢰받고 현지에 깊숙이 뿌리내린 형식을 무기화해 초기 접근과 거점을 확보하는 것이다.

왜 이것이 한미 동맹에 중요한가

HWP 취약점이 야기하는 위험은 서울의 국내 사이버 태세를 넘어선다. 다음의 세 가지 방식으로 동맹 전반에 파급된다.

1. 상호운용성 위험: 연합훈련과 합동 기획 중 미·한 인원은 문서를 일상적으로 교환한다. 한쪽의 표준 형식이 악용 가능하다면, 문서 공유 자체가 감염 채널이 된다. 패치되지 않은 HWP 파서 취약점은 이론상 북한 작전세력이 동맹 환경으로 ‘피벗’하도록 허용할 수 있다.
2. 국방산업기반(DIB) 노출: 한국 방산업체는 문서화와 보고에 HWP 의존도가 높다. 공동 개발이나 조달 프로그램에서 교환되는 감염 문서는 미 공급망과 방산 주계약사(defense primes)에 백도어를 들일 위험이 있다.
3. 작전상 신뢰: 동맹은 신뢰에 의존한다. HWP의 지속적 악용은 민감한 교환을 보호하는 한국의 역량에 대한 신뢰를 약화시키며—억제 전략에서 합동 사이버 작전의 비중이 커질수록 더욱 심각한 우려가 된다. 위험은 반도에 국한되지 않는다. 주한미군이 인도-태평양 비상계획의 핵심 구성 요소이기에, HWP 의존 네트워크의 침해는 한국을 넘어 대만 등 위기 대응에서 워싱턴의 기동성을 떨어뜨릴 수 있다. 미 정부 기관들이 여러 합동 CSA에서 경고했듯, 북한의 사회공학 캠페인은 연합 작전을 뒷받침하는 공동체를 직접 겨냥한다.

패치 그 이상: ‘바람직한 상태’는 무엇인가

광범위하게 사용되는 파일 형식과 결부된 취약점을 ‘패치만’으로 해결할 수는 없다. 기술적 안전장치, 절차적 개혁, 동맹 차원의 표준을 결합한 다층적 전략이 필요하다. 이에 다음과 같은 다수의 조치를 고려해야 한다.

1. 포맷 하드닝: 한컴은 위험한 기능—특히 임베디드 PostScript/EPS—을 기본적으로 비활성화하거나 샌드박싱하도록 압박받아야 하며, 파서의 공격 표면을 좁혀야 한다.
2. 콘텐츠 무장 해제 및 재구성(CDR): 게이트웨이에서 유입되는 HWP/HWPX 파일을 자동으로 살균(sanitize)하고, 활성 콘텐츠를 제거하거나 PDF/A나 OOXML 같은 검증된 형식으로 변환해야 한다.
3. 열기 전 변환(Conversion-Before-Open) 워크플로: 기관은 ‘열기 전 변환’ 정책을 채택하고, 모든 변환에 대한 감사 로그를 남겨 포렌식 검토를 지원해야 한다.
4. 패치 서비스수준협약(SLA): 정부 기관은 측정 가능한 일정에 대한 약속을 해야 한다. 예컨대 중요 한컴 패치는 72시간 이내 전개. 정기 취약점 스캔과 중앙집중식 대시보드로 책임성을 담보할 수 있다.
5. 동맹 표준: 미·한 사이버 당국은 크로스 도메인 또는 훈련 환경에서 EPS 차단, CDR 도입, 변환 워크플로를 의무화하는 공동 지침을 발행해야 한다. 북한 전술·기술·절차(TTPs)에 대한 공유 워치리스트를 부처, CERT, 협력업체 전반에 배포해야 한다.

이들 조치가 아직 법제화된 것은 아니지만, 한국인터넷진흥원(KISA)의 파일럿 프로그램과 일부 국방 네트워크에서 요소들이 이미 나타나고 있다. 최소한 단기적으로는, 부처들은 이메일 게이트웨이에 CDR을 즉시 배치하고 한컴 업데이트에 72시간 패치 SLA를 채택할 수 있다—인프라 변경은 최소지만 ‘첫 클릭’ 위험을 현저히 줄인다. 장기적으로 한컴은 임베디드 PostScript/EPS를 기본적으로 비활성화하거나 샌드박싱하도록 압박받아야 하며, 미·한 사이버 당국은 부처와 협력업체 전반에서 워치리스트와 문서 처리 표준을 정렬해야 한다.

취급 모범 사례 절차적 습관은 코드만큼 중요하다. 부처는 직원들에게 알 수 없는 첨부파일을 열기 전에 PDF/A로 변환하도록 요구하고, 발신자 도메인을 검증하며, 원본 HWP 파일을 외부로 유통하지 않도록 해야 한다. 이러한 행태적·기술적 안전장치는 다음 물결의 문서 기반 침입에 대한 1차 방어선을 이룬다.

동맹 차원의 완화 체크리스트

아래 샘플 체크리스트는 대한민국 정부 부처와 동맹 프로그램이 이러한 권고를 어떻게 운영화할 수 있는지 보여 준다. 각 항목은 기존 기술로 구현 가능한 실행 통제를 의미하며—새 플랫폼은 필요 없다.

대한민국 정부 부처 및 한미 동맹 프로그램 대상

1. 포맷 하드닝

• 한컴오피스에서 임베디드 PostScript/EPS 기능을 비활성화하거나 샌드박싱한다.
• 게이트웨이에서 EPS 객체를 차단하고 예외 승인을 요구한다.

2. 콘텐츠 무장 해제 및 재구성(CDR)

• 이메일 게이트웨이와 크로스 도메인 가드에 CDR을 배치한다.
• 모든 HWP/HWPX 파일에서 매크로와 임베디드 객체를 제거한다.
• 포렌식을 위한 자동 로깅과 함께 ‘열기 전 변환’ 정책을 시행한다.

3. 상호운용성 표준

• 동맹 간 교환 형식으로 PDF/A 또는 Office Open XML(OOXML)을 표준화한다.
• 훈련 및 합동 프로그램을 위한 공동 지침을 발행한다.

4. 패치 규율

• 중요 한컴 패치를 72시간 이내 적용한다.
• 주간 패치 준수 스캔을 수행하고 중앙 대시보드를 통해 채택 현황을 보고한다.

5. 동맹 조정

• 컴퓨터 침해대응팀(CERT) 간 북한(DPRK) TTP 워치리스트를 동기화한다.
• 공동 준수 감리와 레드팀 드릴을 수행한다.

정책적 함의: 사이버보안에서 동맹 아키텍처로

한국이 국내에서 선호하지만 전 세계적으로는 생소한 파일 형식에 의존하는 현실은 동맹 아키텍처에 직접적인 함의를 갖는 지속적 사이버 취약점을 만들어 냈다. HWP는 단순한 소프트웨어가 아니다. 그것은 대한민국의 부처, 협력업체, 합동 프로그램의 일상적 운영에 직조된 공격 표면이다.

그러나 이 책임은 되돌릴 수 있다. 서울이 한컴에 대해 공격적 하드닝을 요구하고, 부처 전반에 기본적으로 CDR을 배치하며, 측정 가능한 패치 준수를 집행한다면, 이 약점을 회복력의 모범으로 바꿀 수 있다. 문서 처리에 관한 미·한 공동 표준은 지역 방어만이 아니라 동맹 신뢰까지 강화할 것이다.

교훈은 더 넓다. 사이버보안 취약점은 지역에 머물지 않는다. 동맹, 공급망, 작전상 신뢰 전반으로 파급된다. 이러한 취약점을 방치하면 한국의 방위뿐 아니라 동북아에서의 미국 확장억제의 신뢰성까지 훼손할 위험이 있다. 준비태세에 대한 인식은 곧바로 상대의 계산에 영향을 주기 때문이다. .HWP 문제를 정면으로 다루는 일은 서울이 자국 네트워크를 보호하는 데 그치지 않고, 미국 동맹 아키텍처 내에서 ‘고신뢰 파트너’로서의 위상을 강화하며—나아가 인도-태평양 전반에서 미군 태세의 신뢰성을 뒷받침할 기회를 제공한다.