PDF 문서와 악성코드 문제

옆지기로부터 네이버 메일에 PDF 문서를 첨부하려는데 PDF 문서에 악성 코드가 있다고 첨부가 되지 않는다는 이야기를 들었다. PDF 문서 형식이 워낙 복잡하니 내부적으로 스크립트를 포함하는 기능도 있을 것이라는 막연한 추측을 하고 있었는데 이러한 일을 직접 목격하고 나니 관련 자료를 적극적으로 찾아보게 되었다.

 

PDF 문서가 다양한 환경에서 문서 교환 방식으로 표준으로 자리 잡다 보니 PDF 통한 다양한 악성 코드 배포와 공격이 이루어지고 있는 모양이었다. 어도비사에서도 공식적으로 PDF 문서를 통해 악성코드가 배포될 수 있음을 명확히 하고 있었다.

 

이를 방지하기 위한 다양한 노력도 있는데 대표적인 것이 카드 명세서, 전기료 고지서, 지역 의료 보험 및 국민 연금 고지서 등에서 사용하고 있는 개인화 PDF 문서를 예로 들 수 있다. 개인 정보를 아는 사람만 해당 문서를 열 수 있도록 PDF 문서를 첨부하는 경우이다. 물론 이 방법에도 허점이 있을 수 있지만, 최소한 발송처를 확인할 수 있다는 차이점이 있다. 가장 위험한 것이 발송처가 애매한, 피싱(phishing)인데 피싱을 시도하는 것으로 보인다면 PDF 문서 자체를 열지 말고 메일을 삭제하는 것이 현명하다.

 

또 다른 예방법은 신뢰할만한 PDF 뷰어를 사용하는 것이다. PDF 문서 형식 자체는 개방된 것이기 때문에 PDF 뷰어 또한 다양한데 제작사에서 배포하는 "Adobe Acrobat Reader" 정도는 무료이므로 사용해도 무방하다. 물론 PDF 리더는 자주 업데이트하는 것이 좋다. 그리고 남은 방법은 안티 바이러스 프로그램으로 검사하는 것인데 여기에는 조금 한계가 있다. 오늘의 사례는 네이버 메일 시스템에서 사용하는 백신에서는 악성 코드가 있다고 인지했지만 다른 백신에서는 아니라고 했기 때문이다. 모든 백신을 설치해서 사용할 수는 없는 노릇 아닌가?

 

이런 경우 문제가 있는 PDF 문서를 제대로 점검해 볼 수 있는 사이트가 있었다. 물론 무료다.  https://www.virustotal.com/gui/home/upload 사이트에 네이버 메일에서 문제가 있다는 파일을 업로드하여 검사해 보니 역시 문제가 있다고 나왔다. 다양한 백신 엔진으로 검사한 결과를 확인할 수 있다. 옆지기가 어딘가에서 다운로드하였다고 하는 파이썬 학습 교재인데 악성 코드가 심어져 있었던 것이다.

 

이번에는 해당 문서의 원래 저자가 소스포지에서도 동일한 이름으로 배포하고 있고 필자도 "파이썬 공부를 위한 책 추천"에서 배포하고 있는 파일로 검사해 보니 전혀 문제가 없었다. 결국 누군가 여러 사람이 의심 없이 사용하는 파일에 장난을 쳐 놓은 것이었다. PDF 문서에 대한 경각심을 가지게 되는 사례였다.

 

https://www.virustotal.com/에서 PDF 문서를 검사하는 방법은 간단하다. 사이트에 들어가서 [Choose file]를 클릭하고 검사하려는 파일을 선택하면 그만이다. 만약 PDF 문서의 URL 주소가 있고 해당 파일을 확인하고 싶다면 직접 주소를 입력해도 된다.