PDF는 디지털전환 시대 필수 문서 형식으로 자리 잡았다. 기존에는 단순히 인쇄 문서를 대체하는 용도로 이해됐지만 점차 자바스크립트, XML 에디터를 활용해 문서 안 데이터를 처리하는 데까지 발전했다. 현재는 PDF를 바탕으로 대화형 양식을 작성하거나 동영상, 음성, 3D 파일을 포함해 하나의 파일로 교환하기도 한다.
PDF 형식은 2008년 이후 국제표준화기구(ISO)가 스펙을 정하고 관리하기 시작하면서 특정 회사로부터의 종속에서 벗어났다. 이제 PDF는 디지털 문서 형식으로 통용되기에 가장 이상적인 수단으로 진화했다. 디지털전환 과정에서 데이터 교환을 필요로 하는 문서 포맷은 PDF가 주도하고 있다. 일부 기관과 기업에서는 아직 특정 워드프로세서를 쓰고 있지만 PDF가 공공과 민간 분야 문서 통용을 위한 기본 포맷이 되는 것은 시간문제로 보인다.
PDF는 양날의 칼이기도 하다. 사이버 공격을 하는 악성코드 제작자 입장에서 보면 PDF는 매력적인 해킹 대상이기 때문이다. 외부 문서 전달 시 공공과 민간 기업에서 PDF 문서를 이용하기 때문에 악성 행위자는 이메일에 첨부할 미끼 문서를 PDF 문서로 악용한다. 이메일을 활용한 표적형 공격은 전체 사이버 공격의 80% 이상을 차지하며, 그 가운데 80% 이상이 PDF 문서를 첨부한 공격이다.
공격자는 1993년 PDF 규격을 최초 공개한 미국의 모 회사 프로그램 취약점을 집중적으로 노린다. 2008년 ISO에 주도권을 넘겼음에도 이 회사는 PDF 글로벌 시장 점유율 70% 이상을 차지한다. 해커는 바로 이 점을 노리고 이 회사 프로그램 취약점을 악용한 바이러스를 만들어 내고 있다. 최근 북한으로 추정되는 해킹 공격에 사용된 PDF 역시 이 회사 프로그램의 취약점을 악용한 것으로 분석됐다.
PDF 문서 보안에 주의하면 표적형 사이버 공격의 상당수를 막을 수 있다.
구체적인 방법으로 첫째 다양한 PDF 열람기와 편집기를 사용해야 한다. A사 프로그램의 취약점은 타사 프로그램 취약점과 동일하지 않기 때문에 오염된 PDF를 클릭하더라도 공격을 피할 수 있다. 호환성에는 문제가 없기 때문에 기능적으로 A사에 필적할 제품으로 대안을 찾는 사례가 늘고 있다.
둘째 현재 사용하고 있는 PDF 열람기가 최신 버전이고, 보안 패치가 됐는지 확인해야 한다. 일반적으로 제로데이 취약점이 공개되기 수개월 전에 화이트해커가 개발사에 연락해 패치 버전을 배포하도록 돕는다. 그러나 사용자가 예산 문제 등으로 최신 라이선스를 구매하지 않고 지원이 중단된 예전 버전을 복사해서 문제의식 없이 사용하는 경우가 많다. 수년 전에 단종된 버전을 쓰면서 PDF를 읽는 데는 아무 문제가 없다고 생각한다면 보안을 간과한 처사다.
셋째 보안을 염두에 둔 보안 강화 설정이 필요하다. 복잡하지만 자바스크립트나 XML 등 외부 스크립트가 작동되지 않도록 사전에 설정해야 한다. 제품에 따라 손상되거나 바이러스가 주입된 파일을 미리 검사하는 프로그램을 제공하는 곳도 있으니 검토해 볼 필요가 있다.
마지막으로 공공기관 소프트웨어(SW) 도입을 관리하는 기관에서는 관리 지침을 새롭게 정비해야 한다. 최근 국내에서는 국산 모 PDF 프로그램과 가상사설망(VPN) 제품의 취약점을 악용한 정보 유출 사건이 발생했다. 우리나라도 미국 NVD, 중국 CNVD 같은 취약점 정보 데이터베이스(DB) 운영을 검토해야 한다. 조달 제품으로 채택되고 계약 기간 3년 동안은 별 통제 없이 구매 포털을 통해 거래가 이뤄지는 모든 제품에 대해서도 보안을 정기적으로 점검해야 한다.
디지털전환 시대에 PDF 사용이 급속히 확장된 것 이상으로 PDF 문서는 해킹 위협에 가장 많이 노출돼 있다. 개발사, 사용자, 유관 기관 등은 위협이 높아진 만큼 PDF 열람기와 편집기 보안 관리에 한층 더 주의해야 할 것이다.
박상현 자유소프트 부사장 spark@jayoo.kr