OLE·DDE 공격 35년 연대기 — 1987년 Windows 2.0부터 2026 APT 재활용까지

OLE와 DDE는 Microsoft가 정상 상호운용성 기능으로 설계한 기술이다. DDE는 1987년 Windows 2.0, OLE는 1990년 Microsoft가 발표했다. 매크로보다도 오래된 기능이다. 그런데 2014년 Sandworm의 우크라이나 전력망 공격(CVE-2014-4114), 2017년 10월 SensePost의 DDE 재발견과 뒤이은 Locky·Necurs 대규모 캠페인, 2022년 Hancom 한글 CVE-2022-33896, 그리고 2025년 12월 Genians가 공개한 Operation Artemis의 HWP+OLE+DLL 사이드로딩까지 — 35년이 지나도 이 두 기능은 같은 원리로 공격자의 무기가 되고 있다. 매크로 경고 밖에서, 패치 누락된 레거시에서, OLE Packager의 구조적 허점에서, 이들은 계속 재활용된다. MITRE ATT&CK은 이를 T1559.001 Dynamic Data Exchange와 T1027 Embedded OLE Object로 별도 분류했다. 이 글은 OLE·DDE 35년의 기술 연대기를 1차 자료 — NVD, Microsoft ADV170021, SensePost Edward blog, Talos, FireEye/Mandiant, Kaspersky Sandworm, ASEC, CISA — 로 해부하고, CDR이 왜 "취약점 패치 여부와 무관하게" 이 계층을 무효화하는지 설명한다.

35년+

OLE·DDE 공격 역사
1987 DDE · 1990 OLE

10건

실제 CVE 연대기
2014-2024 주요 사례^[1]

34ms

SLCDR 무해화
DISARM Intro^[2]

100%

KISA 탐지율
Certified^[2]

1 매크로보다 오래된 공격 — 35년차 벡터의 시작

2020년대 문서 공격을 이야기할 때 대부분 매크로(VBA)를 떠올린다. 그러나 매크로보다 훨씬 오래된, 그리고 여전히 활용되는 두 기능이 있다 — OLE와 DDE. 이 둘의 탄생 시점부터 정리한다.

1987년 Windows 2.0 — Microsoft는 애플리케이션 간 실시간 데이터 교환을 위한 DDE(Dynamic Data Exchange) 프로토콜을 도입. Excel이 외부 시스템에서 주가를 받아오는 시나리오가 대표 용도였다.
1990년 OLE 1.0 — Microsoft가 Object Linking and Embedding을 발표. Word 문서 안에 Excel 차트를 임베드하고 더블클릭하면 Excel이 열리는 기능. 문서를 "단순 정적 콘텐츠"에서 "복합 객체 컨테이너"로 격상시켰다.
1993년 OLE 2.0 / Compound File Binary Format(MS-CFB) — 파일 내부에 마치 "미니 파일 시스템"처럼 스트림과 스토리지를 구성. 이후 .doc, .xls, .ppt, .hwp의 공통 저장 포맷이 된다^[3].

매크로(VBA)는 1994년 Excel 5.0에 처음 도입됐다. OLE·DDE는 그보다 앞서 존재했다. "문서 안에서 코드가 실행되는" 최초의 합법적 경로가 매크로가 아니라 OLE 객체의 활성화 핸들러와 DDE 필드의 외부 프로그램 호출이었다는 사실은 공격 역사를 이해하는 출발점이다.

💡 왜 "오래됐는데 여전히 위험"한가

OLE·DDE는 기능 자체가 정상이다. Microsoft가 이를 삭제하면 30년간 축적된 엔터프라이즈 문서 생태계가 깨진다. 수많은 재무 보고서·ERP 연동·산업 자동화가 이 기능 위에 서 있다. 그래서 Microsoft는 "기본 비활성화 + 옵트인" 정책으로 접근했고, 공격자는 "옵트인 대화상자를 우회하거나 설득하는 방법"을 연구해왔다. 35년의 역사는 그 공방의 연대기다.

2 OLE Compound Document 구조 (MS-CFB)

OLE 기반 문서(.doc, .xls, .ppt, .hwp)는 내부적으로 MS-CFB(Compound File Binary Format)라는 "파일 안의 파일 시스템" 구조를 가진다. Microsoft Open Specifications로 공개돼 있다^[3].

MS-CFB 핵심 구성 요소

Header (512 bytes) — 매직 시그니처 D0 CF 11 E0 A1 B1 1A E1, 섹터 크기, FAT 위치
Directory Entries — 스토리지(폴더)와 스트림(파일) 계층 구조 엔트리
FAT / MiniFAT — 섹터 체인 매핑 (FAT 파일시스템과 유사한 구조)
Streams — 실제 데이터 (예: WordDocument, PowerPoint Document, \1Ole10Native)

공격자가 주목하는 특정 스트림이 있다. \1Ole10Native는 OLE Packager가 임베드한 외부 파일의 원본 바이트를 담는 스트림이다. Sandworm의 CVE-2014-4114가 정확히 이 구조를 악용했다.

3 OLE Packager 공격 — CVE-2014-4114 Sandworm

2014년 10월 iSIGHT Partners(현 Mandiant)가 공개한 Sandworm Team 공격은 OLE Packager의 구조적 허점을 악용한 대표 사례다^[4]. CVE-2014-4114로 등재됐고 Microsoft가 MS14-060으로 패치했다.

공격 체인

미끼: 우크라이나 정부·NATO·EU·에너지 부문 대상 PowerPoint(.pps) 스피어피싱
Packager 임베드: .pps 내부 OLE Packager에 .inf 파일과 .gif(실제로는 PE 실행파일)을 임베드
트리거: 슬라이드쇼 실행 시 Packager가 SMB 원격 경로를 통해 파일을 로컬 TEMP로 다운로드
실행: .inf가 호출돼 같이 떨어진 "위장된 gif" PE를 실행 — 이것이 BlackEnergy

Sandworm의 이 기법은 이후 2015년 우크라이나 전력망 공격의 초기 침투 단계로 이어진 것으로 추정된다(Kaspersky · ESET BlackEnergy 보고서)^[5]. OLE Packager가 "문서 내부에 임의 파일을 첨부 가능한 기능"이었다는 점이 핵심이다. 정상적으로는 "더블클릭으로 외부 파일 열기"를 위한 기능이지만 공격자는 이를 초기 드롭퍼 배달 통로로 전환했다.

⚠️ OLE Packager가 구조적으로 위험한 이유
콘텐츠 불문 — PE·스크립트·배치파일 등 임의 바이너리 임베드 가능
아이콘 위장 — 임베드 객체의 표시 아이콘을 PDF·Word 아이콘으로 변경 가능
경고 약함 — 매크로와 달리 "이 문서는 실행 가능 콘텐츠를 포함합니다" 수준의 강한 경고가 없었음
MS-CFB 전역 영향 — .doc, .xls, .ppt, .hwp 등 OLE 복합 문서 전체에 적용

4 DDE 공격 재발견 — SensePost 2017.10

2017년 10월 9일 SensePost의 Etienne Stalmans와 Saif El-Sherei가 공개한 블로그 포스트 "Macro-less Code Exec in MSWord"는 침묵하던 DDE를 공격 무대로 다시 끌어올렸다^[6].

공격 원리

Word의 필드(Field) 중 DDEAUTO와 DDE는 문서를 열 때 외부 프로그램을 호출할 수 있다. 예시:

{ DDEAUTO c:\\windows\\system32\\cmd.exe "/k powershell.exe -NoP -W Hidden -Enc <base64>" }

사용자가 문서를 열면 Word가 두 개의 대화상자를 띄운다. 첫째 "이 문서는 다른 파일의 링크를 포함합니다. 업데이트하시겠습니까?", 둘째 "지정된 응용 프로그램을 시작하시겠습니까?". 공격자가 해결한 문제는 이 대화상자를 사회공학으로 "예"로 유도하는 문구를 설계하는 것이었다.

SensePost 인용

"Office documents have been used to execute code without needing macros since before macros were even a thing... DDE is still supported, and is enabled by default, and does not require macros." — SensePost, 2017.10.9^[6]

DDE 재발견은 매크로 경고에 익숙해진 방어 체계의 사각지대를 드러냈다. 매크로 보안 설정을 "경고 후 차단"으로 해둬도 DDE는 그 통제 경로 밖에 있었다.

5 CVE-2017-8759 · CVE-2017-11826 · CVE-2017-11882

2017년은 OLE·DDE 관련 CVE가 쏟아진 해였다. 주요 3건을 정리한다.

CVE	대상	유형	악용
CVE-2017-8759	.NET Framework	SOAP WSDL 파서 RCE	FireEye 공개, FinSpy·FinFisher 배포^[7]
CVE-2017-11826	Office Word	OOXML OLE 파서 타입 혼동 RCE	제로데이로 악용 후 2017.10 패치 화요일 수정^[8]
CVE-2017-11882	Equation Editor	스택 오버플로우 RCE (17년 묵은 버그)	Embedi가 발견, Loki·FormBook 등 대량 악용^[9]
CVE-2017-0199	Office / WordPad	HTA 링크 OLE2Link 자동 호출	Dridex·Latenbot 등 배포 채널

CVE-2017-11882는 특히 상징적이다. Microsoft Equation Editor(수식 편집기 EQNEDT32.EXE)가 17년 동안 패치 없이 OLE 객체로 Word에 임베드돼 배포돼 왔고, 이 프로그램의 스택 버퍼 오버플로우가 발견되자 공격자들은 "Word 문서 안에 수식 객체 하나만 임베드하면 코드 실행"이라는 확정적 기법을 얻었다. Microsoft는 결국 2018년 Equation Editor를 완전 제거했다.

6 Locky / Necurs DDE 캠페인 (2017)

SensePost 공개로부터 불과 몇 주 후, 세계 최대 스팸 봇넷 Necurs가 DDE를 대규모로 투입했다. Talos·Trend Micro·Forcepoint의 2017년 10-11월 보고서가 교차 확인한다^[10].

캠페인 구성

미끼: "송장(invoice)", "배송 알림", "계약서" 사칭 이메일. 첨부 .docx
필드: DDEAUTO로 PowerShell 호출 → 원격 페이로드 다운로드
페이로드: Locky 랜섬웨어(변종 Asasin, Ykcol)
규모: Necurs가 시간당 수백만 통 발송

같은 시기 Hancitor, TrickBot도 DDE 경유 배포가 확인됐다. 매크로 차단에 익숙해진 기업 메일 게이트웨이들이 초기 몇 주간 DDE 문서를 통과시켰고, 이것이 감염률 급증의 배경이었다.

7 DocuSign 피싱 사례 — FireEye 2017.10

FireEye가 2017년 10월 20일 보고한 DocuSign 사칭 DDE 캠페인은 전형적인 사회공학 설계를 보여준다^[11].

위장: DocuSign 전자서명 요청 이메일
첨부: .docx, 열면 DDEAUTO로 원격 HTA 실행
페이로드: Hancitor → Pony · Zloader

DocuSign은 정상 비즈니스 이메일의 대표 형식이다. 수신자가 "계약서 보내달라고 부탁한" 실제 상황에서 도착하면 의심하기 어렵다. 공격자들은 단순히 기술만 활용한 것이 아니라 "이 문서를 열 가능성이 높은 업무 맥락"을 설계했다.

8 Microsoft ADV170021 — DDE 차단 대응

사태가 확산되자 Microsoft는 2017년 12월 12일 ADV170021 보안 권고를 발표했다^[12]. CVE 번호가 아닌 "Advisory" 형태로 발표된 것은 DDE가 "취약점이 아닌 기능"이었기 때문이다 — 패치가 아니라 기능 비활성화였다.

ADV170021 조치 내용

Word의 DDE 자동 업데이트를 기본 비활성화 (레지스트리 키 AllowDDE=0)
Excel은 동일 옵션을 가졌지만 Excel의 DDE는 더 광범위한 업무 연동에 쓰이므로 별도 안내
Outlook은 이메일 내 DDE 필드 렌더링 차단

이후 Office 2017년 12월 업데이트부터 DDE는 기본 차단됐다. 그러나 완전 제거가 아니라 옵트아웃이었다. 관리자가 정책으로 다시 켤 수 있고, 구버전 Office는 업데이트를 받지 못하면 여전히 취약했다.

⚠️ 패치가 아닌 "기능 토글"의 한계

ADV170021의 본질은 패치가 아닌 정책 변경이다. 이는 다음 세 가지 공백을 남겼다 — (1) 레거시 Office(2010·2013 중 업데이트 미적용), (2) 관리자 정책으로 재활성화된 환경, (3) 타 제품군(한컴오피스 등 동일 DDE류 필드 지원). 이 공백이 2017년 이후에도 DDE 공격이 완전히 사라지지 않은 이유다.

9 OLE2Link · Packager 우회 기법

DDE가 차단된 이후에도 OLE 경로는 살아 있었다. 공격자들은 OLE 임베드의 변형된 경로들을 지속 발굴했다.

주요 우회 기법

OLE2Link (CVE-2017-0199) — RTF 파일의 objupdate 플래그가 문서 열기 시 원격 HTA 자동 로드. 클릭 없이 트리거.
Packager shell exec — 임베드된 .lnk 파일이 Packager를 통해 임시 경로로 복사된 후 실행.
Equation Editor (CVE-2017-11882 / CVE-2018-0802) — Word 외부 프로세스인 EQNEDT32.EXE가 DEP/ASLR 없이 실행되는 구조를 악용.
MSHTA LoLBin — OLE/DDE 트리거에서 mshta.exe로 원격 HTA 실행. AppLocker 예외를 자주 가짐.
Follina (CVE-2022-30190) — OLE·DDE는 아니지만 "ms-msdt" 프로토콜을 Word의 외부 콘텐츠 로딩 경로로 재활용. 원리적으로 같은 계열.

이 기법들의 공통점은 "문서 안의 정상 객체가 외부 실행 경로를 호출"한다는 점이다. 매크로처럼 명시적 코드가 아니라 구조적 핸들러가 실행 트리거를 수행한다. 이것이 전통적 AV 시그니처가 구조적으로 잡기 어려운 이유다.

10 Hancom HWP OLE 공격 — CVE-2022-33896

2022년 7월 Cisco Talos Intelligence Group이 발견하고 공개한 CVE-2022-33896은 한컴오피스 HWord의 XML 파싱 경로에서 발생한 버퍼 언더플로우 취약점이다^[13]. High 심각도로 분류됐다.

기술 요약

영향: Hancom Office HWord
유형: Buffer underflow (XML 파싱)
벡터: 악성 HWP 또는 HWPX 문서 열기 → RCE
발견: Cisco Talos
악용: APT37 · Kimsuky 추정 캠페인에서 관찰

HWP는 MS-CFB 기반 OLE 복합 문서다. 따라서 Word의 OLE 취약점과 같은 계열의 문제가 HWP에서도 재현된다. 다만 한컴오피스 파서는 독립 구현이라 패치 주기와 취약점 집합이 Microsoft와 다르게 흐른다. 한국 공공기관 PC에 한컴오피스가 기본 설치되는 환경에서, HWP OLE 취약점은 "한국에 특화된 공격 표면"으로 작동한다.

11 2024-2026 — Kimsuky·APT37의 OLE 재활용

2017년 Microsoft ADV170021 이후 "OLE·DDE는 옛 이야기"라는 인식이 퍼졌지만 APT 영역에서는 정반대였다. 2024-2026년 ASEC·Genians 보고서는 OLE가 한국 타깃 공격의 주요 벡터로 재활용되고 있음을 지속 확인한다^[14].

2024.9 — Kimsuky 강연의뢰서 HWP+MSC

ASEC 83239 보고서. 강연의뢰서 사칭 HWP + MSC 관리콘솔 복합 공격. OLE 객체에 MSC 파일을 임베드하거나 하이퍼링크로 연결해 사용자 클릭을 유도.

2025.12 — Operation Artemis (Genians)

Genians 시큐리티센터가 2025년 12월 공개한 Operation Artemis^[15]. APT37이 HWP 문서 내부 OLE 객체를 하이퍼링크 트리거로 활용해 DLL 사이드로딩을 연쇄 시킨 사례다. Genians 인용:

"The threat actor embedded a malicious OLE object inside an HWP document in a covert manner, and the attack chain is triggered when the user trusts the document content and clicks the hyperlink."^[15]

APT10 · FIN7 · Turla — 글로벌 재활용 사례

APT10 (Cloud Hopper) — MSP 대상 스피어피싱에 OLE Packager 경유 초기 드롭퍼 배포
FIN7 — 금융·소매 대상 문서에 OLE·DDE 혼합 사용. LNK+OLE 체인 다수
Turla (Snake) — 외교 타깃 문서에서 OLE 객체 기반 Gazer·Carbon 로더 배포

공통 관찰 — "취약점이 없어도 OLE·DDE는 사회공학 벡터로 여전히 작동한다". 사용자가 "객체 열기" 또는 "필드 업데이트"에 "예"를 클릭하는 순간, 패치 여부와 무관하게 공격은 진행된다.

12 MITRE ATT&CK 매핑

MITRE ATT&CK은 OLE·DDE 관련 기법을 별도 Technique으로 분류한다^[16].

ID	기법	설명
T1559.001	IPC: Dynamic Data Exchange	DDE 프로토콜을 통한 외부 프로그램 실행
T1559	Inter-Process Communication	IPC 경로를 이용한 실행 (상위 Technique)
T1027	Obfuscated Files or Information — Embedded Payloads	OLE Packager 등으로 문서 내 임베드된 페이로드
T1204.002	User Execution: Malicious File	사용자가 OLE 객체 더블클릭 · DDE 업데이트 허용
T1566.001	Phishing: Spearphishing Attachment	악성 OLE/DDE 문서 이메일 첨부
T1218.005	System Binary Proxy Execution: Mshta	OLE2Link 등에서 mshta 호출

13 CDR — OLE·DDE 구조 제거 원리

OLE와 DDE는 취약점이 아니라 기능이다. 따라서 "탐지 후 차단"이 아니라 구조 수준 제거가 근본 방어가 된다. CDR(Content Disarm & Reconstruction)의 접근이 여기에 부합한다.

CDR의 처리 단계

파싱 — 문서를 MS-CFB 또는 OOXML/ZIP 아카이브로 열어 내부 구조 해석
식별 — OLE 스트림(\1Ole10Native 등), DDE 필드, Packager 객체, OLE2Link 자동 호출, Equation Editor 객체 모두 유형 기준으로 식별
제거 — 실행 가능 유형을 전량 제거. "정상 OLE인지 악성 OLE인지" 판정하지 않음
재구성 — 시각적 표현(이미지화된 차트 등)은 유지하면서 실행 트리거만 분리된 형태로 원본 포맷 재조립

✅ 왜 CDR이 OLE·DDE에 결정적인가
취약점 무관 — 패치 여부와 독립적. CVE-2022-33896처럼 한컴 취약점이 있어도, 없어도 동일하게 작동
제로데이 무관 — 아직 공개되지 않은 OLE 파서 취약점도 "객체 자체가 제거됨" → 무효화
LoLBin 차단 — PowerShell·mshta·eqnedt32 호출 트리거가 사라짐
사회공학 내성 — 사용자가 "예"를 눌러도 이미 객체가 없음
EOL 환경 보호 — 패치 불가 레거시 Office·한컴오피스에도 구조적 방어 적용

14 매트릭스 — 매크로 vs OLE vs DDE vs LNK vs MSC 비교

문서 기반 공격 벡터를 한 장으로 비교한다. 조직이 게이트 정책을 설계할 때 참고.

벡터	실행 주체	경고	사용자 액션	패치 가능성
매크로 (VBA)	문서 내부 VBA 엔진	강한 경고 (MOTW · 보호된 보기)	"매크로 사용" 클릭	기능 차단 정책 강력
OLE 객체	임베드된 애플리케이션	약한 경고 또는 없음	객체 더블클릭	부분 (핸들러 패치)
DDE 필드	외부 프로그램 (cmd·PowerShell)	업데이트 대화상자 2단계	"예" 클릭	2017.12 기본 차단
LNK (숏컷)	Windows 셸	거의 없음	클릭	구조적 패치 어려움
MSC (관리콘솔)	mmc.exe	없음 (정상 시스템 도구)	클릭	2024 이후 주의 상승
Equation Editor	eqnedt32.exe (EOL)	없음	문서 열기만으로	2018 제거

Microsoft 대응 정책 연혁

연도	조치	대상
2016	매크로 그룹 정책 옵션 제공	인터넷 출처 매크로 차단 가능
2017.10	CVE-2017-11826 · CVE-2017-0199 패치	OLE 파서 타입 혼동 · RTF OLE2Link
2017.12	ADV170021 · DDE 기본 비활성화	Word / Outlook
2018	Equation Editor 완전 제거	CVE-2017-11882 · CVE-2018-0802
2022	MOTW 기반 매크로 기본 차단	인터넷 다운로드 Office 문서
2022.5	Follina CVE-2022-30190 패치	MSDT 프로토콜 외부 호출
2023-2026	지속적 OLE 핸들러 보강	Edge · WebView2 경로 포함

15 실제 CVE 10선 — 패치 전 CDR 방어

CVE	연도	유형	핵심 악용
CVE-2014-4114	2014	OLE Packager	Sandworm · BlackEnergy · 우크라이나 전력망 계열^[4]
CVE-2017-0199	2017.4	OLE2Link · RTF	Dridex · Latenbot 배포 채널
CVE-2017-8759	2017.9	.NET SOAP OLE	FinSpy · FinFisher (FireEye 공개)^[7]
CVE-2017-11826	2017.10	OOXML OLE 타입 혼동	제로데이 악용 후 패치^[8]
CVE-2017-11882	2017.11	Equation Editor 스택 오버플로우	17년 묵은 버그. Loki · FormBook 대량 악용^[9]
CVE-2018-0802	2018.1	Equation Editor 후속	2017-11882 변형 재악용
CVE-2018-5195	2018	Thinkfree Office NEO 하이퍼링크	한글 생태계 Buffer Overflow
CVE-2022-30190	2022.5	Follina · MSDT 외부 호출	Word 외부 콘텐츠 경로 재활용
CVE-2022-33896	2022.7	HWord XML 파싱 Buffer Underflow	Talos 발견, APT37·Kimsuky 추정^[13]
CVE-2023-50234/50235	2023.12	Hancom Office Show PPT 파싱	Stack-based Buffer Overflow RCE

위 10건 모두 "패치 전 구간에서 CDR은 구조 제거로 무효화"한다. 패치 배포·적용 사이클의 수주~수개월 공백이 CDR로 메워진다는 것이 실무 가치다.

16 자주 묻는 질문 (FAQ)

Q1. DDE는 Microsoft가 2017년에 차단했는데 왜 여전히 위협인가요?

ADV170021은 기본 비활성화이지 제거가 아니다. (1) 관리자가 정책으로 재활성화한 환경, (2) 패치가 적용되지 않은 레거시 Office, (3) 한컴오피스처럼 별도 제품의 유사 필드, (4) 구버전 Windows의 레거시 앱이 여전히 DDE를 사용. CDR은 기본 비활성화 여부와 무관하게 DDE 필드 유형을 제거한다.

Q2. OLE Packager는 여전히 기본 기능인가요?

Office는 OLE Packager에 대해 여러 차례 블랙리스트·경고를 강화했다. 그러나 "임베드된 임의 파일을 열 수 있는 기능" 자체는 남아 있다. 업무 연동상 정상 사용 사례(예: 기술 명세서에 회로도 파일 첨부)가 존재하기 때문이다. CDR은 조직 정책에 따라 Packager 유형을 제거 또는 허용 목록 관리한다.

Q3. Follina(CVE-2022-30190)는 OLE·DDE와 같은 계열인가요?

엄밀히는 ms-msdt 프로토콜 핸들러 문제지만 원리는 동일하다 — "문서 안의 외부 리소스 핸들러가 실행 경로를 호출". OLE2Link · DDE · Follina 모두 "정상 기능이 외부 실행을 트리거"하는 계열이다. CDR은 이 계열 전반을 외부 참조·자동 호출 필드 제거로 일괄 방어한다.

Q4. HWP의 OLE는 Word OLE와 같나요?

구조적으로 같은 계열이다. HWP는 MS-CFB 복합 문서 포맷을 사용하며 내부에 OLE 객체 스트림을 저장한다. 다만 한컴오피스 파서는 독립 구현이므로 Microsoft와 다른 취약점 집합이 존재한다. CVE-2022-33896이 그 사례다. CDR은 HWP·HWPX·DOCX·DOC 모두에서 OLE 스트림을 유형 기반으로 일괄 제거한다.

Q5. Equation Editor는 이제 없잖아요?

Microsoft Office에서는 2018년 제거됐지만 문제는 셋이다. (1) 레거시 문서 호환성으로 일부 환경에서 Equation Editor 호환 모듈이 재설치되는 경우, (2) "Equation Editor형 외부 실행 핸들러 취약점"이 다른 임베드 핸들러에서 반복 발견, (3) 한컴오피스 등 타 제품의 수식 편집기. CDR은 특정 핸들러 이름이 아니라 "외부 실행 OLE 객체" 유형으로 제거한다.

Q6. 2024-2026년에도 OLE가 APT에 쓰인다는 증거는?

Genians의 2025.12 Operation Artemis 보고^[15]가 대표 사례다. APT37이 HWP 내부 OLE 객체 + 하이퍼링크 + DLL 사이드로딩을 결합했다. ASEC 2024-2025 월간 보고서들도 Kimsuky 캠페인에서 OLE·MSC·LNK 혼합 활용을 지속 확인한다. OLE가 "옛 기법"이라는 인식과 달리 표적 공격에서는 여전히 1군 벡터다.

Q7. CDR이 OLE를 제거하면 업무 문서가 깨지지 않나요?

시각적 표현은 유지된다. 예를 들어 Word 문서 안에 OLE로 임베드된 Excel 차트는 이미지화된 형태로 보존된다. 사라지는 것은 "더블클릭 시 외부 애플리케이션 실행"이라는 트리거다. 업무상 원본 편집이 필요한 경우는 정책 예외(내부 DMS 경로·서명된 송신자)로 관리한다. 기본 원칙은 제거, 예외는 좁게.

Q8. CDR과 EDR·AV는 어떻게 계층화하나요?

CDR은 진입 단계 구조 방어(이메일·웹 게이트에서 문서 무해화), EDR은 엔드포인트 행위 탐지(실행 단계 이상 행위), AV는 시그니처 기반 탐지(알려진 악성코드). 세 계층은 대체가 아니라 보완이다. OLE·DDE는 CDR이 진입 단계에서 구조 제거로 원천 차단하고, CDR을 우회한 위협은 EDR·AV가 뒤에서 받는다.

✓ 결론 — 35년을 관통하는 단일 원리

1987년 DDE부터 2026년 Operation Artemis까지 35년 넘게 이어진 OLE·DDE 공격사는 하나의 원리로 압축된다 — "문서 안의 정상 기능이 외부 실행 경로를 호출한다". 1990년 OLE Packager, 2014년 Sandworm의 우크라이나 공격, 2017년 SensePost의 DDE 재발견과 Necurs/Locky 캠페인, 2017년 12월 Microsoft의 ADV170021, 2022년 Hancom CVE-2022-33896, 2025년 12월 APT37 Operation Artemis는 모두 같은 구조의 변주다.

방어도 단일 원리여야 한다. "실행 가능 콘텐츠 유형은 유형 기준으로 제거한다". CDR의 구조 접근은 1987년의 DDE든 2026년의 새로운 OLE2Link 변종이든 동일하게 작동한다. 취약점이 공개되기 전에도, 패치가 배포되기 전에도, EOL 버전에서도 — 객체 자체가 존재하지 않으므로 트리거될 수 없다. 35년의 공방 끝에 남는 결론은 단순하다 — 기능을 선별 신뢰하는 것이 아니라 실행 경로를 기본 차단하고 필요한 것만 허용 예외로 관리한다. CDR은 그 정책의 기술적 구현이다.

OLE·DDE 대응 준비도 진단

실제 Sandworm · Locky · Operation Artemis 유형 샘플 기반 테스트 · Office / 한컴오피스 레거시 환경 정책 설계 · 이메일 게이트 CDR 배치 · 감사 로그 자동화까지 지원.

OLE·DDE 대응 PoC 신청 → 공공 · 금융 · 국방 · 엔터프라이즈 맞춤

REFERENCES

NVD, National Vulnerability Database — nvd.nist.gov.
SecuLetter Inc., DISARM Solution Introduction KO · Ensecure v2, 2025.
Microsoft Open Specifications, [MS-CFB]: Compound File Binary File Format — learn.microsoft.com.
NVD, CVE-2014-4114 Microsoft OLE Remote Code Execution (Sandworm) — nvd.nist.gov/vuln/detail/CVE-2014-4114. iSIGHT/Mandiant Sandworm 공개.
Kaspersky / ESET, BlackEnergy APT Group Reports (2014-2016) — securelist.com.
SensePost (Etienne Stalmans · Saif El-Sherei), Macro-less Code Exec in MSWord, 2017.10.9 — sensepost.com.
FireEye / NVD, CVE-2017-8759 .NET SOAP WSDL Parser RCE — nvd.nist.gov/vuln/detail/CVE-2017-8759.
NVD, CVE-2017-11826 Microsoft Office OOXML Memory Corruption — nvd.nist.gov/vuln/detail/CVE-2017-11826.
NVD / Embedi, CVE-2017-11882 Microsoft Equation Editor RCE — nvd.nist.gov/vuln/detail/CVE-2017-11882.
Cisco Talos, Threat Spotlight — Necurs / Locky DDE Campaigns, 2017.10-11 — blog.talosintelligence.com.
FireEye / Mandiant, DocuSign Phishing with DDE (Hancitor), 2017.10 — mandiant.com.
Microsoft Security Response Center, ADV170021 — Microsoft Office Defense in Depth Update (DDE), 2017.12.12 — msrc.microsoft.com.
Cisco Talos Intelligence, CVE-2022-33896 Hancom HWord XML Parsing Buffer Underflow, 2022.7 — talosintelligence.com. NVD: nvd.nist.gov/vuln/detail/CVE-2022-33896.
ASEC, Kimsuky · APT37 HWP OLE 캠페인 보고서 (83239 · 89771 · 90651 · 91524), 2024-2025 — asec.ahnlab.com.
Genians Security Center, Operation Artemis — APT37 HWP + OLE + DLL Sideloading, 2025.12 — genians.co.kr.
MITRE ATT&CK, T1559.001 Inter-Process Communication: Dynamic Data Exchange — attack.mitre.org/techniques/T1559/001. T1027 Embedded Payloads: T1027.
CISA, Alert AA20-239A / DDE · Office Document Threats — cisa.gov.
NVD, CVE-2017-0199 Microsoft Office OLE2Link / RTF Automatic Load — nvd.nist.gov/vuln/detail/CVE-2017-0199.
NVD, CVE-2022-30190 Follina MSDT Protocol — nvd.nist.gov/vuln/detail/CVE-2022-30190.
NVD, CVE-2018-0802 Microsoft Equation Editor Follow-up — nvd.nist.gov/vuln/detail/CVE-2018-0802.
Trend Micro, Analysis: DDEAUTO Attacks Spread Locky Ransomware, 2017.10 — trendmicro.com.
Forcepoint Security Labs, Necurs / Locky via DDE, 2017 — forcepoint.com.
MITRE ATT&CK Groups, G0007 APT28 · G0032 Lazarus · G0094 Kimsuky · G0067 APT37 · G0045 APT10 · G0046 FIN7 · G0010 Turla — attack.mitre.org/groups.
SecuLetter Inc., MARS Platform · Reverse Engineering-based File Security Technology — seculetter.com/en/technology.

기법 분석 실무 검토가 필요하신가요?

시큐레터 보안연구팀이 현재 환경을 함께 검토합니다. 기밀 유지 보장, 비용 없음.

PoC 신청