HWP/HWPX 제로데이 2020-2026 연표 — CVE-2025-29867 Hancom 全라인부터 Operation Artemis까지

2015년 FireEye가 최초로 공개한 CVE-2015-6585(HWPX para text 태그 타입 혼동)부터 2026년 2월 NVD에 등재된 CVE-2025-29867(Hancom Office 2018/2020/2022/2024 全라인 CVSS 8.5)까지, 11년에 걸쳐 한글 문서 포맷은 "한국에 특화된 가장 정교한 공격 표면"으로 진화했다. 38 North의 2025년 10월 보고서 문구가 이 현실을 압축한다 — "HWP is not just software; it is an attack surface woven into the daily functioning of ROK ministries, contractors, and joint programs."^[1] 이 글은 실제 확인된 CVE 7건, 연도별 공격 캠페인, ASEC/Genians의 월간·분기 보고, 한컴오피스 패치 이력, 2026년 최신 변종 — HWPX+JSE NUKESPED와 Operation Artemis의 DLL 사이드로딩 — 까지의 타임라인을 1차 자료로 해부한다. 그리고 CDR이 왜 이 모든 기법에 "취약점 패치 여부와 무관하게" 유효한지를 구조적으로 설명한다.

CVSS 8.5

CVE-2025-29867
Hancom 全라인 타입 혼동^[2]

7건

확인된 HWP/HWPX CVE
2015-2026

동시 패치 Hancom 제품군
2018·2020·2022·2024

100%

SLCDR KISA 탐지율
구조 기반 방어^[3]

1 HWP/HWPX 관련 실제 CVE — 2015~2026 전수

공개 자료에서 확인되는 HWP/HWPX 관련 주요 CVE 7건을 연도순으로 정리한다. 각 CVE는 NVD · CVE.org · Hancom 공식 공지 기반이다.

CVE ID	공개	심각도	유형 · 영향
CVE-2015-6585	2015	High	Type confusion (hwpapp.dll, HWPX para text 태그). 공공기관 RCE. FireEye 최초 보고^[4]
CVE-2018-5195	2018	Critical	Buffer Overflow (Thinkfree Office NEO hwdt 하이퍼링크). RCE. 9.6.1.5495 패치
CVE-2020-7882	2020	—	Path traversal (Hancom 구성요소)
CVE-2022-33896	2022	High	Buffer underflow (HWord XML 파싱). Cisco Talos 발견 · APT37/Kimsuky 악용
CVE-2023-50234/50235	2023.12	8.8	Stack-based Buffer Overflow (Hancom Office Show PPT 파싱). RCE^[5]
CVE-2024-38178	2024.8	7.5	Scripting Engine Memory Corruption (Windows, APT37 RokRAT 배포 체인). MS 2024.8 패치 화요일^[6]
CVE-2025-29867	2026.2.4	8.5 HIGH	Type confusion (CWE-843). Hancom Office 2018/2020/2022/2024 全버전. 파일 콘텐츠 주입^[2]

CVE-2025-29867 안전 버전

Office 2018 ≥ 10.0.0.12681
Office 2020 ≥ 11.0.0.8916
Office 2022 ≥ 12.0.0.4426
Office 2024 ≥ 13.0.0.3050

SentinelOne의 CVE-2025-29867 공식 설명 인용^[2]:

"The application fails to properly verify that objects conform to their expected types before accessing them."

⚠️ 4개 제품군 동시 패치의 의미

CVE-2025-29867은 Hancom Office 2018 · 2020 · 2022 · 2024 네 개 제품군에 동일하게 영향을 준다. 이것은 Hancom이 수년간 유지해온 코드베이스를 상속해온 결과다. 타입 검증 로직이 동일 모듈에 내재되어 있어 한 취약점이 전 라인을 관통한다. 이런 구조는 미래 신규 취약점도 동일 패턴으로 全라인에 영향을 줄 가능성을 시사한다. 취약점 기반 방어의 한계가 여기서 드러난다.

2 2023~2024 — 초기 다각화와 ScarCruft 진화

2023 — Kimsuky 다중 포맷 배포

Genians 2023년 12월 보고서 "북한 시장 물가 분석 문서" 사칭 캠페인에서 Kimsuky가 HWP·HWPX뿐 아니라 LNK·DOCX·XLSX까지 동시 다발 배포했다^[7]. 단일 포맷이 아닌 다중 포맷 전략이 이 시기부터 뚜렷해졌다.

2024.8 — CVE-2024-38178 + RokRAT (ScarCruft)

ScarCruft(APT37)가 Windows Internet Explorer의 Scripting Engine 취약점 CVE-2024-38178을 악용해 RokRAT을 배포했다^[6]. HWP 자체의 취약점은 아니지만 HWP 문서 전달 체인과 결합된 공격으로 확인됐다. MS 2024년 8월 패치 화요일에 수정.

The Hacker News 인용 — "ScarCruft has been linked to the exploitation of CVE-2024-38178... to install the RokRAT malware."

2024.9 — Kimsuky 강연의뢰서 HWP+MSC

ASEC 2024년 9월 19일 보고서^[8]가 공개한 Kimsuky 캠페인:

미끼: 강연의뢰서 위장
포맷: HWP + MSC 관리콘솔 복합
MD5: 08111135bae27c8aafd08457e95b7380, 7c451e8d5605536363d897fa9e389ecd 외 3건
C2: http://communiquer.be/modules/mod_users_latest/src/Helper/[date]_pprb/d.php
특이점: Google Drive 파일 제목에 인코딩된 명령어 삽입

ASEC 분석의 기술적 핵심 인용 — "The malware employs legitimate executable files paired with malicious scripts disguised as Manifest files."^[8]

3 2025 Q1 — ToyBox Story와 파일리스 RoKRAT

2025년 3월 Genians 시큐리티센터가 공개한 Operation ToyBox Story는 APT37 공격의 새로운 패턴을 드러냈다^[9]. 두 개의 케이스로 구성됐다.

Case A — "러시아 전장 북한군 파병" 사칭 (2025.3.8)

HWP 아이콘 위장 → Dropbox ZIP 파일 유도
3단계 파일: toy01.dat · toy02.dat · toy03.bat
XOR 난독화 + 파일리스 실행

Case B — "트럼프 2.0 시대" 국가안보 세미나 (2025.3.11)

국가안보 세미나 초청장 ZIP
동일한 3단계 파일리스 체인

C2 인프라

89.147.101.65, 89.147.101.71, 37.120.210.2
Yandex 계정 활용: rolf.gehrung@yandex.com 등 4건

Genians의 ToyBox Story 기술 요약^[9]:

"APT37 used Dropbox to spread ZIP files with malicious LNK files that filelessly executed RoKRAT and triggered extra malware with the keyword 'toy'."

💡 파일리스 실행의 탐지 어려움

ToyBox Story의 핵심 기법은 파일리스 RoKRAT이었다. 디스크에 악성 파일을 남기지 않고 메모리에서만 실행되므로 전통적 AV 시그니처 탐지가 무력화된다. 그러나 진입점은 여전히 HWP 아이콘 · LNK · ZIP 같은 파일이다. 이 진입 단계에서 CDR이 실행 가능 콘텐츠를 제거하면 파일리스 단계 자체가 시작되지 못한다.

4 2025 Q2-Q3 — QR 코드 피싱과 AI 생성 ID

2025.5-6 — QR 코드 스피어피싱 (Quishing)

Kimsuky가 QR 코드 기반 스피어피싱을 4건 이상 전개했다. 이메일 본문에 QR 코드를 삽입해 모바일 접속 유도. 모바일 환경의 보안 통제가 데스크톱보다 약한 점을 활용한 전략이다.

2025.7 — AI 생성 한국 군 ID 카드

ASEC 2025년 7월 APT 동향 보고서(89771)가 확인한 사례^[10]. ChatGPT로 생성된 한국 군 신분증 이미지를 활용한 사회공학 공격. AI 기반 사회공학이 실제 표적 공격에 투입된 사례로 기록됐다.

2025.7 — ClickFix 기법 등장

ASEC 인용 — "Kimsuky conducted multi-stage spear phishing attacks targeting diplomatic and security experts using ClickFix tactics."^[10] ClickFix는 사용자에게 "CAPTCHA 문제 해결" 등 정당한 이유로 PowerShell 명령어를 복사-붙여넣기 하도록 유도하는 기법이다.

2025.9 — MSC + 셸코드 (국방 연구자 타깃)

ASEC 2025년 9월 APT 동향(90651)에서 확인된 캠페인. 국방 연구자 대상 MSC 첨부 스피어피싱, 셸코드가 C&C에서 추가 페이로드 다운로드. HappyDoor 백도어 + VMP 보호 난독화 결합^[11].

5 2025.12 — Operation Artemis 상세 해부

2025년 12월 Genians 시큐리티센터가 공개한 Operation Artemis는 HWP 기반 공격의 새 지평을 열었다^[12]. APT37이 처음으로 HWP + OLE + DLL 사이드로딩을 결합한 사례다.

공격 체인

진입: 한국 방송 작가 사칭 → 기자·학계·정치 전문가에게 인터뷰 요청 메일
유도: HWP 문서 내부 OLE 객체에 악성 삽입, 하이퍼링크 클릭 유도
실행: 정상 실행 파일 먼저 기동 후 악성 DLL을 정상 프로세스 문맥에서 로드(masquerading)
은닉: 스테가노그래피 + 다단계 XOR 복호화로 RokRAT 은닉
C2: Yandex Cloud 주력 (Dropbox/OneDrive/pCloud도 병행)

Genians 분석의 핵심 문장

"The threat actor embedded a malicious OLE object inside an HWP document in a covert manner, and the attack chain is triggered when the user trusts the document content and clicks the hyperlink." — Genians Operation Artemis^[12]

"The tampered .dll was placed alongside a legitimate executable, which was loaded to trigger further stages of the attack."

"The campaign utilizes steganography and multi-stage XOR decryption to conceal RoKRAT payloads and impede static analysis."

⚠️ DLL 사이드로딩이 위험한 이유

Operation Artemis의 DLL 사이드로딩은 "정상 프로세스를 숙주로 삼는 기법"이다. 악성 코드가 별도 프로세스를 만들지 않고 신뢰된 프로세스 내부에서 실행된다. EDR의 프로세스 모니터링이나 AV의 시그니처 매칭을 구조적으로 우회한다. 그러나 진입점은 HWP 문서 내부의 OLE 객체와 하이퍼링크다. CDR이 OLE와 자동 호출 하이퍼링크를 제거하면 DLL 사이드로딩의 트리거 자체가 사라진다.

6 2026 H1 — HWPX + JSE NUKESPED의 등장

2026년 2월 Medium에 공개된 Shubho57의 분석은 Kimsuky의 최신 변종을 드러냈다^[13].

캠페인 개요

미끼: "위탁교육생·건강검진 안내서" 사칭
전달: RAR 아카이브 건강검진 안내서.alz
로더: JSE(JScript Encoded) 파일 — Base64 이중 디코딩 → PE 추출
실행: powershell.exe -windowstyle hidden -noni -decode
백도어: NUKESPED (=NFILO) DLL

IoC

JSE SHA256: 81e384471fcfa6752cb81ca1b7b9ee455cc78f1580d...
NUKESPED SHA256: 485a886acdf832ce3fb902483e30f623bbdef1629f9e8...
인프라: AS54113 (Fastly CDN) 경유, 한국 정부 손상 웹사이트가 페이로드 배포 채널

JSE 분석의 기술 문장

"Base64 data is Base64-decoded twice to extract a Windows PE executable. The loader manipulates XML DOM elements and executes hidden PowerShell commands via powershell.exe -windowstyle hidden -noni -decode." — Shubho57, Medium^[13]

AI 딥페이크 ID 카드 결합

2026년에는 AI 생성 한국 군 신분증 이미지가 HWP 문서와 결합되는 사례가 추가 확인됐다. 사회공학 미끼의 진위 판별을 더 어렵게 만드는 방향의 진화다.

FBI 공식 경고 (2026.1.8)

미국 FBI Internet Crime Complaint Center(IC3)는 2026년 1월 Kimsuky의 악성 QR 코드 스피어피싱으로 미·한 싱크탱크 공격에 대한 공식 경고를 발령했다^[14]. 한국 기원 APT 캠페인이 미국 정부의 공식 경고 수준으로 격상된 것은 이 위협의 국제적 심각성을 보여준다.

7 ASEC 월간 보고서 하이라이트

월	ASEC 번호	주요 관찰
2024.9	83239	Kimsuky 강연의뢰서 사칭 HWP+MSC 복합 최초 분석^[8]
2025.7	89771	ClickFix 기법 등장 · Kimsuky 다단계 스피어피싱^[10]
2025.9	90651	HappyDoor 백도어 + VMP 보호 난독화 · Bandizip 설치파일 위장^[11]
2025.11	91524	Famous Chollima Contagious Interview · Kimsuky KimJongRAT 이중 체인(PE+PowerShell) · Konni Android+KakaoTalk+Google Find Hub 결합
2025 중	88419/88465	논문 파일 위장 — Kimsuky 연구자 타깃
2026.초	93151	LNK 파이썬 백도어 배포 기법 변화

ASEC 보고서들의 공통 관찰 — "한 캠페인이 끝나면 다음 달에 기법이 바뀐다"는 점이다. 탐지 기반 방어가 한 가지 기법에 맞춰 대응 체계를 정비하는 동안 공격자는 다음 기법으로 이동한다. 이것이 시그니처 중심 방어의 구조적 한계다.

8 Genians 시큐리티센터 분기별 관찰

시기	보고서명	핵심 내용
2023.12	북한 시장 물가 분석 문서	HWP/HWPX + LNK/DOCX/XLSX 동시 운영^[7]
2025 Q1	Operation ToyBox Story	LNK+Dropbox 파일리스 RoKRAT^[9]
2025 Q4	Operation Artemis	HWP + OLE + DLL 사이드로딩 최초 확인^[12]
2026	Pretexting	APT37 Facebook 프리텍스팅 + 소프트웨어 변조(Trojanized Installer)

9 한컴오피스 패치 대응 이력

2015.5.21 — CVE-2015-6585 대응 보안 패치 (ASEC 23704)
2017.7 이후 — CVE-2018-5195 대응 Thinkfree Office NEO 9.6.1.5495 배포
2023.12 — CVE-2023-50234/50235 패치
2026.2.4 — CVE-2025-29867 NVD 공식 등재. Hancom Office 2018·2020·2022·2024 4개 제품군 동시 패치 배포

EOL(End-of-Life) 버전의 위험

Hancom Office 2014 · NEO · 2010은 Compound File heap overflow 대응 패치 이후 업데이트가 중단됐다. 공공기관 레거시 설치가 다수 남아있어 CVE-2025-29867 같은 최신 취약점이 이들 구버전에 대해 패치 불가능한 영구 제로데이로 남을 위험이 있다.

10 국제 관점 — 38 North · Zscaler · The Hacker News

38 North (2025.10)

"HWP is not just software; it is an attack surface woven into the daily functioning of ROK ministries, contractors, and joint programs. The implications extend beyond domestic cybersecurity — HWP vulnerabilities risk undermining the US-ROK alliance's shared cyber posture."^[1]

38 North는 미국 스팀슨센터 산하 한국 전문 연구기관이다. HWP 취약점을 단순 기술 이슈가 아니라 한미 동맹의 사이버 태세 리스크로 규정했다. 공공기관 담당자가 HWP 보안을 국가 안보 맥락으로 접근해야 하는 근거다.

Cisco Talos (2017-2019)

다수 HWP 파싱 결함을 공개. CVE-2022-33896도 Cisco Talos가 발견해 공개한 취약점이다.

The Hacker News (2024-2026)

APT37 · Kimsuky 캠페인을 지속 국제 보도. 2024.10 ScarCruft IE 제로데이, 2025.2 Kimsuky forceCopy LNK, 2026.1 FBI QR 경고 등.

Zscaler ThreatLabz

"File formats abused by APT37 include Windows help file (CHM), HTA, HWP (Hancom office), XLL (MS Excel Add-in) and macro-based MS Office files."

HWP를 "the most Korean-specific attack surface"로 규정. 한국 특화 공격 벡터라는 관점이 국제 보안 연구 커뮤니티에서 공식화된 상태다.

SentinelOne Labs

ScarCruft의 전략 정보 수집 보고서 발간. 사이버보안 전문가 자체를 타깃으로 한 공격도 관찰.

11 2026년 아직 CVE 미등재 변종 관찰

HWPX + JSE 조합

Windows Script Host가 기본 활성화되는 환경의 취약점을 이용. JSE 파일은 대부분의 EDR이 검사 제외 또는 낮은 우선순위 처리하는 것이 현실이다. Kimsuky가 이 공백을 정확히 공략한다.

QR 코드 + HWP 병행

FBI 2026.1 경고 — 이메일 본문에 QR 삽입해 모바일 유도. 데스크톱의 보안 통제를 우회해 모바일 환경에서 추가 페이로드를 실행하는 전략.

AI 딥페이크 ID 카드

ChatGPT로 생성된 한국 군 신분증 위조. 사회공학 미끼의 시각적 진위 판별이 구조적으로 어려워진다.

Russia-based Cloud C2

Yandex Cloud 채택 증가. 제재 회피 + 국제 법적 접근 차단의 이중 효과. Operation Artemis가 대표 사례.

12 CDR이 HWPX 제로데이에 구조적으로 유효한 이유

취약점 기반 방어의 한계

CVE-2025-29867처럼 Hancom 全라인 취약점 → 패치 배포에 수주 지연
Operation Artemis의 HWP+OLE+DLL 사이드로딩 → 시그니처 생성 불가 (정상 프로세스 내 실행)
HWPX+JSE의 Base64 이중 난독화 → 정적 분석 무력화
EOL 버전 → 패치가 아예 배포되지 않음

CDR의 구조적 강점 — 6가지 벡터 제거

✅ CDR이 제거하는 벡터
OLE 객체 전면 제거 → Artemis류 DLL 사이드로딩 원천 차단
JSE/LNK/VBS 스크립트 제거 → Kimsuky HWPX+JSE 무력화
PostScript/EPS 제거 → 2013-2014년 ROKRAT 벡터 차단
하이퍼링크 sanitize → 외부 페이로드 다운로드 차단
XML 파싱 재구성 → CVE-2015-6585류 타입 혼동 무효화
매크로·OLE·외부 참조 일괄 제거 후 원본 형태 재조립 → 취약점 존재 여부 무관

시큐레터 MARS + SLCDR 조합의 실전 적용

시큐레터 MARS 플랫폼은 리버스엔지니어링 기반 분석과 CDR을 결합해 HWP/HWPX 구조적 방어를 제공한다^[15]. BNK 부산은행 망연계구간 APT 차단 레퍼런스에서 확인되는 실전 적용 사례다.

패치와 CDR의 관계 — 대체 아닌 보완

방어 수단	강점	한계
한컴 보안 패치	알려진 취약점 해결	제로데이 미대응 · 패치 배포 지연 · EOL 불가
시그니처 AV	알려진 악성코드 탐지	변종·제로데이 0% 탐지
샌드박스	일부 행위 관찰	파일리스·DLL 사이드로딩 우회
CDR	취약점 존재 여부 무관 · 실행 요소 구조적 제거	콘텐츠 수정으로 원본 일부 손실 가능 (가독성 보존 필수)

13 실무 체크리스트

HWPX 제로데이 대응 준비도

한컴오피스 최신 패치 적용 체계CVE-2025-29867 기준 2018·2020·2022·2024 버전 확인
기본 대응
EOL 버전(2014·NEO·2010) 교체 계획패치 불가능 버전 운영 중단 로드맵
잔존 리스크
이메일 게이트 CDR 배치HWP/HWPX 첨부파일 수신 즉시 무해화
1차 방어
OLE·LNK·JSE·MSC·PostScript·EPS 제거 정책최신 기법 대응 · Artemis·HWPX+JSE 대비
구조적 방어
MARS 엔진 정적 분석 연동CDR+MARS 조합 · 위협 인텔 축적
분석 + 무해화
ASEC·Genians·FBI IC3 모니터링신규 IoC·캠페인 실시간 반영
위협 추적
QR 코드 피싱 대응FBI 2026.1 경고 반영 · 모바일 접근 통제
2026 신흥
사용자 대상 피싱 훈련"HWP·LNK·JSE·ZIP 첨부 주의" 정기 모의훈련
사용자 레이어
감사 로그 기록제거된 객체 유형·처리 시간·송신자 자동 기록
사후 분석
한미 공동 프로그램 HWP 취급38 North 경고 반영 · 국가 안보 맥락 대응
공공 맥락

14 자주 묻는 질문 (FAQ)

Q1. HWPX가 HWP보다 더 취약한가요?

보안 속성은 유사하지만 포맷 구조가 다르다. HWP는 OLE 복합 문서, HWPX는 XML 기반 ZIP 아카이브. 공격자가 활용하는 실행 요소 임베드 방식이 다르므로 CDR 엔진이 두 포맷을 별도로 완전 지원해야 한다. 2026.2 Kimsuky HWPX+JSE 캠페인이 HWPX 특유의 벡터를 활용한 첫 대규모 사례다.

Q2. 한컴오피스 패치만 적용하면 충분한가요?

패치는 알려진 취약점에 대한 대응이다. 제로데이는 패치 대상이 아니며 CVE-2025-29867처럼 Hancom 全라인 4개 제품군에 동일 취약점이 존재하는 경우 단일 패치로는 근본 해결이 어렵다. EOL 버전(2014·NEO·2010)은 패치 자체가 불가능. CDR은 패치 전후 공백을 구조적으로 메운다.

Q3. Operation Artemis의 DLL 사이드로딩을 CDR이 막나요?

CDR이 차단하는 지점은 HWP 내부 OLE 객체와 하이퍼링크다. Artemis의 공격 체인은 이 OLE·하이퍼링크 트리거에서 시작한다. CDR이 이를 제거하면 DLL 사이드로딩 단계 자체가 시작되지 못한다. EDR이 엔드포인트 실행 단계에서 DLL 사이드로딩 이상 행동을 탐지하는 것과 계층 방어로 결합된다.

Q4. Kimsuky HWPX+JSE에서 JSE는 어떻게 제거되나요?

JSE(JScript Encoded)는 실행 가능 스크립트 유형으로 분류되므로 CDR의 기본 제거 대상에 포함된다. SLCDR은 HWPX 아카이브 내부 또는 별도 첨부로 들어온 JSE 파일을 유형 기반 제거. Base64 이중 난독화와 무관하게 파일 유형 자체가 제거 대상이므로 난독화 기법이 방어 원리에 영향을 주지 않는다.

Q5. CVE-2025-29867 같은 타입 혼동을 CDR이 막나요?

부분적으로. CDR은 XML 파싱 후 재구성 과정에서 원본의 구조적 특이점을 정규화한다. 타입 혼동을 유발하는 악의적 형태의 태그·객체가 재조립 과정에서 정규 형태로 변환되면서 취약점 트리거가 무력화될 수 있다. 다만 모든 경우를 보장하지는 않으므로 한컴 패치와 병행이 권장된다.

Q6. 공격 그룹이 주로 북한 연계인가요?

한국 타겟 HWP 공격의 대부분이 북한 연계 그룹(Kimsuky · APT37/ScarCruft · Lazarus · Konni · Famous Chollima)으로 귀속된다. 38 North는 이를 한미 동맹의 사이버 태세 리스크로 규정했다. 다만 공격 기법 자체는 다른 국가·범죄 조직에 확산될 수 있으므로 "한국 포맷 기반 위협 일반"으로 접근하는 것이 현실적이다.

Q7. 2026년 이후 어떤 기법이 등장할 것으로 예상되나요?

확실한 예측은 어렵지만 관찰된 방향: ① AI 기반 변종 자동 생성 — LLM으로 변종 대량 생산, ② 모바일 QR 피싱 확산, ③ 딥페이크 사회공학 — ChatGPT 이미지·음성 활용, ④ Russia-based Cloud C2 채택 증가, ⑤ HWPX 파서 취약점 추가 발견. CDR의 구조 기반 접근은 이런 신규 위협에도 원리적으로 작동한다.

Q8. EOL 한컴오피스 버전은 어떻게 대응하나요?

2014·NEO·2010은 패치 자체가 불가능하다. 공공기관 레거시 설치가 있다면 ① 업그레이드 로드맵, ② CDR 게이트에서 모든 HWP 반입 무해화, ③ EOL 버전 사용자 격리 환경에서만 열람의 3중 방어가 필요. CDR이 영구 제로데이에 대한 유일한 구조적 방어가 될 수 있다.

✓ 결론 — 11년의 연표가 보여주는 일관성

2015년 CVE-2015-6585부터 2026년 CVE-2025-29867까지 11년간 공개된 HWP/HWPX CVE 7건은 "타입 혼동 · 버퍼 오버플로 · 파싱 취약"이라는 유사 패턴을 반복한다. 공격 기법도 진화했다. 2023년 HWP 단독 → 2024년 HWP+MSC → 2025 Q1 ToyBox 파일리스 → 2025 Q4 Operation Artemis DLL 사이드로딩 → 2026년 HWPX+JSE NUKESPED. 기법은 매년 새롭지만 원리는 같다 — "정상 문서 위장 → 실행 가능 콘텐츠 임베드 → 다단계 페이로드 → 장기 잠복".

38 North의 2025년 10월 경고는 이 현상의 무게를 가장 잘 표현한다 — "HWP는 소프트웨어가 아니라 한국 부처·계약자·한미 공동 프로그램의 공격 표면". Zscaler가 HWP를 "the most Korean-specific attack surface"로 규정한 것도 같은 맥락이다.

방어도 일관성을 가져야 한다. 취약점 기반 방어(패치·시그니처·샌드박스)는 기법 변화마다 뒤처진다. CDR의 구조적 접근은 "실행 가능 콘텐츠 유형 제거"라는 단일 원리로 2015년 CVE든 2026년 HWPX+JSE든 2028년의 아직 등장하지 않은 기법이든 동일하게 작동한다. 패치와 CDR의 관계는 대체가 아니라 보완이며, EOL 버전에서는 CDR이 유일한 구조적 방어가 된다.

HWPX 제로데이 대응 준비도 진단

최신 Kimsuky·APT37 IoC 기반 공격 시뮬레이션 · HWPX 무해화 품질 테스트 · 38 North 경고 기반 국가 안보 맥락 컨설팅 · 감사 증적 자동화 설계까지 지원.

HWPX 대응 진단 신청 → 공공 · 언론 · 학계 · 금융 · 한미 공동 프로그램 맞춤

REFERENCES

38 North, HWP as an Attack Surface — What Hancom's Hangul Word Processor Means for South Korea's Cyber Posture as a US Ally, 2025.10 — 38north.org.
SentinelOne, CVE-2025-29867 Hancom Office Type Confusion, NVD 2026.2.4 — sentinelone.com.
SecuLetter Inc., Ensecure v2 · DISARM Solution Introduction KO, 2025.
FireEye / NVD, CVE-2015-6585 Hancom HWPX para text 타입 혼동 — help.hancom.com.
NVD, CVE-2023-50234 · CVE-2023-50235 Hancom Office Show PPT Buffer Overflow — nvd.nist.gov. Red Packet Security: redpacketsecurity.com.
The Hacker News, North Korean ScarCruft Exploits Windows Zero-Day CVE-2024-38178 to Install RokRAT, 2024.10 — thehackernews.com. Google TAG: blog.google.
Genians 시큐리티센터, 북한 시장 물가 분석 문서 사칭, 2023.12 — genians.co.kr.
ASEC, 강연의뢰서로 위장한 Kimsuky 그룹 악성코드 (MSC, HWP), 2024.9.19 — asec.ahnlab.com.
Genians, Operation ToyBox Story — APT37 Dropbox LNK Fileless RoKRAT, 2025.3 — genians.co.kr.
ASEC, 2025.7 APT 동향 — Kimsuky ClickFix, 2025.7 — asec.ahnlab.com.
ASEC, 2025.9 APT 동향 — HappyDoor · VMP 난독화, 2025.9 — asec.ahnlab.com.
Genians, Operation Artemis — APT37 HWP + OLE + DLL 사이드로딩, 2025.12 — genians.co.kr. 연합뉴스: yna.co.kr.
Shubho57, Analysis of a JSE File — Kimsuky APT HWPX+JSE, Medium 2026.2 — medium.com. Malware News: malware.news.
FBI Internet Crime Complaint Center, Kimsuky QR 코드 스피어피싱 경고, 2026.1.8 — ic3.gov. The Hacker News: thehackernews.com.
SecuLetter, MARS Plaform · File Security Technology — seculetter.com.
Zscaler ThreatLabz, Unintentional Leak — APT37 Attack Vectors — zscaler.com.
SentinelOne Labs, A Glimpse Into Future ScarCruft Campaigns — sentinelone.com.
ASEC, 2025.11 APT 동향 — KimJongRAT · Konni Android · Famous Chollima, 2025.11 — asec.ahnlab.com.
Malware News, Kimsuky 2026 에너지 최종평가위 캠페인, 2026 — malware.news.
Logpresso, 2025 North Korea Attack Analysis, 2026.1.14 — logpresso.com.
MITRE ATT&CK, G0094 Kimsuky · G0067 APT37 — attack.mitre.org/groups/G0094, G0067.
Genians, APT37 Pretexting · Facebook + Trojanized Installer, 2026 — genians.co.kr.
CVE Details, Hancom Vulnerability List — cvedetails.com.

위협 연표 실무 검토가 필요하신가요?

시큐레터 보안연구팀이 현재 환경을 함께 검토합니다. 기밀 유지 보장, 비용 없음.

PoC 신청