HWP 파일의 포렌식 아티펙트 연구: 은밀한 흔적을 파헤치다

“HWP 파일이 뭐 그렇게 특별해요?”

디지털 포렌식을 공부하던 대학생 민수는 어느 날 교수님에게 이렇게 물었다.
“워드는 .docx인데, HWP는 왜 따로 분석해야 하나요?”
교수님은 잠시 웃더니 이렇게 말했다.

“숨기는 데 능한 파일일수록, 더 많은 걸 말하지.”

이 말은 단순한 조언이 아니었다. 실제로 HWP 파일의 포렌식 아티펙트는 국내 사이버 범죄 분석에서 가장 주목받는 요소 중 하나다.
오늘은 우리가 잘 아는 한글(Hangul) 문서 파일 속에 숨어 있는 포렌식 아티펙트를 어떻게 추적하고, 어떤 정보가 담겨 있는지를 함께 들여다보자.

---

왜 HWP 파일이 중요한가?

한글(HWP)은 대한민국에서만큼은 압도적인 사용률을 자랑하는 문서 형식이다.
하지만 그만큼 악성코드 전달 수단, 내부 정보 유출 경로, 위조 문서의 도구로도 자주 활용된다.

HWP 파일의 포렌식 아티펙트 분석은 다음과 같은 상황에서 필요하다:

• 삭제된 문서의 복원

• 내부 사용자 행위 추적

• 악성 코드 포함 여부 확인

• 메타데이터를 통한 작성자 추적

---

HWP 파일 구조 간단히 이해하기

HWP 파일은 일반적인 ZIP 포맷이나 DOCX와는 다르게, 자체적인 바이너리 구조로 되어 있다.
이는 분석 도구의 범용성을 떨어뜨리는 대신, 포렌식 전문가의 수작업 분석을 요하게 만든다.

핵심 구조:

• File Header: 문서 버전 및 전체 크기 정보

• Doc Info: 작성자, 수정 시간, 작성 환경 등의 메타 정보

• Body Text: 실제 콘텐츠

• BinData: 삽입된 이미지, 오디오, OLE 객체 등

• Scripts: 자바스크립트와 매크로 포함 여부

여기서도 가장 중요한 건 바로 Doc Info와 BinData 영역에서 추출 가능한 포렌식 아티펙트다.

---

HWP 파일의 포렌식 아티펙트: 무엇을 찾을 수 있나?

1. 작성자 정보 및 마지막 수정자

포렌식 분석의 기초는 문서의 소유주가 누구인지 파악하는 것이다.
Doc Info 영역에는 작성자 이름, 마지막 수정자, 사용된 OS 정보 등이 들어 있다.
이 정보는 문서의 조작 여부나 작성자 속임 여부를 밝혀내는 데 결정적인 단서가 된다.

2. 문서 생성 및 최종 저장 시각

타임라인 분석은 사건의 전후 관계를 파악하는 데 매우 중요하다.
HWP 파일 내부에는 Created, Modified, Printed 등의 시간값이 존재하며, 이를 통해 문서의 진짜 생성 시각을 추정할 수 있다.

3. 삭제된 콘텐츠의 잔재

많은 사용자가 텍스트를 지우면 사라졌다고 믿지만, 일부 HWP 버전에서는 삭제된 텍스트 조각이 남는 경우가 있다.
디지털 포렌식 도구를 이용하면 이런 조각들을 복원하거나 ‘패턴 기반 검색’으로 잔류 데이터를 추출할 수 있다.

4. 악성 매크로 삽입 여부

악성코드가 숨어 있는 HWP는 보통 **스크립트 영역(ScriptInfo)**에 특정 패턴으로 매크로를 삽입한다.
예: ShellExecute, CreateProcess 등의 API 호출 흔적이 있을 수 있으며, 이는 악성 실행을 위한 준비 코드다.

---

분석 도구 추천

HWP 파일의 포렌식 아티펙트를 효과적으로 분석하려면 다음과 같은 도구를 활용할 수 있다:

• HWPView: 한컴에서 제공하는 HWP 뷰어. 포맷 오류 여부 확인용.

• HxD / 010 Editor: 바이너리 분석 도구. 시그니처 및 오프셋 추적에 적합.

• FTK Imager: 디스크 이미지에서 직접 파일 추출 및 미리 보기.

• VIRUSTOTAL + KISA 악성코드 분석툴: HWP에 포함된 악성코드 샘플 탐지.

---

실제 사례: 내부 문서 유출 사건

한 보안 기업에서 발생한 내부 기술자료 유출 사건.
문제는 삭제된 HWP 파일이었지만, 포렌식 팀은 삭제된 SSD에서 해당 HWP 파일의 일부 섹터를 복구했고,
거기서 발견된 작성자명과 타임스탬프, 그리고 악성 스크립트 매크로는 범인을 특정하는 데 결정적인 단서가 되었다.

결국 이 사건은 HWP 파일의 포렌식 아티펙트 분석을 통해 해결되었다.

---

자주 묻는 질문 (FAQ)

Q1. 일반 사용자가 HWP 포렌식 분석을 할 수 있나요?
A: 가능은 하지만, HEX 에디터나 포렌식 도구에 익숙하지 않다면 전문가의 도움이 필요할 수 있습니다.

Q2. 한컴오피스에서 저장한 모든 HWP 파일에 메타데이터가 남나요?
A: 예. 다만 일부 보안 설정에 따라 익명화되거나 일부 정보는 제거될 수 있습니다.

Q3. 삭제한 HWP 파일도 복구가 되나요?
A: 저장 장치 상태에 따라 다릅니다. 덮어쓰기가 없다면 높은 확률로 복구 및 분석이 가능합니다.

---

마무리하며: 문서는 말을 한다

HWP 파일의 포렌식 아티펙트는 단순한 기술 정보를 넘어서
사용자의 의도, 작성 환경, 심지어 감추려는 흔적까지 드러낸다.

당신이 삭제한 문서가, 사실은 아직도 말을 걸고 있을지도 모른다.
우리가 귀를 기울이기만 한다면.