Adobe Reader 제로데이 취약점을 이용한 악성 PDF 공격 주의!

[이미지] 생성형 AI 제작

 

최신 버전의 Adobe Reader 제로데이 취약점을 악용한 정교한 PDF 공격이 확인되었습니다. 

이번 공격은 단순한 악성코드 실행을 넘어, 피해자의 시스템 정보를 은밀하게 수집하고 이를 기반으로 후속 공격을 선별적으로 수행하는 '핑거프린팅(Fingerprinting)' 방식을 채택한 것이 특징입니다.  

해당 취약점은 현재 패치가 이루어지지 않은 제로데이 상태이며, 악성 PDF 파일만 열어도 공격이 트리거 된다는 점에서 사용자 개입 없이도 시스템 정보 탈취와 후속 원격 코드 실행(RCE)으로 이어질 수 있어 그 위험성이 매우 높습니다. 

 

💡 참고하세요

핑거프린팅(Fingerprinting): 공격 대상 시스템의 OS 버전, 설치된 소프트웨어 정보, 언어 설정 등 다양한 환경 정보를 수집해 '지문'처럼 식별하는 기법입니다. 공격자는 이를 통해 더 정밀한 후속 공격을 준비합니다. 

 

 

■ 공격 개요

 

이번 공격에 사용된 악성 PDF 샘플은 2025년 11월 말에 처음 관찰되기 시작했으며, 이후 변종이 추가로 발견되는 등 최소 4개월 이상 지속된 APT(Advanced Persistent Threat) 캠페인의 일부로 분석됩니다. 최신 버전인 Adobe Reader 26.001.21367에서도 동작이 확인되었습니다. 

특히 발견된 샘플 중 하나는 Invoice540.pdf(인보이스·청구서로 위장) 라는 파일명을 사용했으며, 내부에 러시아 석유·가스 산업 관련 내용을 담은 미끼 문서가 포함되어 있었습니다. 이를 통해 러시아 에너지 산업 관계자를 주요 표적으로 삼은 것으로 추정되고 있습니다. 

 

[그림 1] Invoice540.pdf 파일 실행 화면

 

 

■ 악성 코드 구조 및 공격 흐름

 

악성 PDF는 다단계 난독화 구조로 설계되어 분석과 탐지를 모두 회피합니다. 

• 1단계 - 난독화된 JavaScript 자동 실행
  PDF를 여는 즉시, 별도의 클릭 없이 내부에 숨겨진 JavaScript가 자동 실행됩니다. 이 코드는 고도로 난독화되어 있으며, PDF 내 폼 오브젝트(btn1)에 Base64 형태로 저장된 추가 악성 코드를 꺼내 실행하는 구조입니다. 파일을 열어 검사하는 일반적인 탐지 방식으로는 악성 여부를 식별하기 어렵습니다. 
  
  
• 2단계 - 시스템 핑거프린팅 (정밀 정보 수집) 
  악성 코드는 Adobe Reader에 내장된 API를 악용해 사용자 몰래 시스템 정보를 수집합니다. 수집되는 주요 정보는 다음과 같습니다.

수집항목	내용	공격자 활용 목적
Windows 버전	Windows 7/8.1/10/11 구분 및 세부 빌드 번호	버전별 맞춤형 후속 공격 준비
시스템 아키텍처	64비트 환경 여부	페이로드 종류 결정
Adobe Reader 정보	버전, 제품 종류(Reader/Pro), 언어 설정	취약점 공략 방식 선택
PDF 파일 경로	현재 열린 파일의 전체 저장 경로	파일 시스템 구조 파악
열린 문서 수	현재 Adobe에서 열려 있는 문서 개수	자동화된 분석 환경(샌드박스) 여부 추정

[표 1] 수집되는 항목

• 3단계 - 정보 전송 및 추가 명령 수신 (RSS.addFeed 악용) 
  수집된 시스템 정보는 RSS.addFeed() API를 통해 공격자 서버로 전송됩니다. 이 API는 단순히 데이터를 보내는 것을 넘어, 서버로부터 추가 JavaScript 코드를 수신하여 실행하는 역할도 수행합니다.
  즉, 공격자는 피해자의 환경을 평가한 뒤 조건이 충족될 경우 원격에서 추가 악성 코드를 동적으로 주입할 수 있습니다. 
  악성 코드는 0.5초마다 서버 응답을 반복 확인하면서 페이로드 수신 기회를 모니터링하며, 서버에서 반환되는 페이로드는 네트워크 탐지를 우회하기 위해 AES 암호화된 형태로 전달됩니다. 
  
  

 

■ 잠재적 피해 범위

 

이번 취약점이 악용될 경우 발생 가능한 피해는 다음과 같습니다. 

• 로컬 파일 탈취 
  util.readFileIntoStream() API를 통해 Reader 프로세스가 접근 가능한 파일을 읽어 공격자 서버로 전송할 수 있습니다. 업무 문서, 설정 파일, 인증 정보가 포함된 파일 등이 대상이 될 수 있습니다. 
  
  
• 시스템 환경 정보 유출 
  OS 버전, Reader 버전, 언어 설정, PDF 저장 경로 등 공격자의 후속 공격 설계에 활용될 수 있는 정밀한 환경 정보가 외부로 전송됩니다. 
  
  
• 원격 코드 실행(RCE) 및 샌드박스 탈출(SBX)로 이어질 가능성 
  서버에서 반환되는 추가 JavaScript가 실행되는 구조상, 공격자가 적절한 조건을 만족하는 타깃을 식별할 경우 RCE 또는 SBX 익스플로잇을 동적으로 전달해 시스템 전체를 장악할 수 있습니다. 

💡 참고하세요

RCE(Remote Code Execution, 원격 코드 실행): 공격자가 피해자의 시스템에서 임의의 코드를 원격으로 실행할 수 있는 취약점입니다. 
SBX(Sandbox Escape, 샌드박스 탈출): PDF 리더와 같은 애플리케이션은 보안을 위해 제한된 환경(샌드박스) 안에서 동작합니다. 샌드박스 탈출은 이 제한을 벗어나 시스템 전체에 접근하는 공격입니다. 

 

 

■ 대응 권고

 

현재 Adobe는 이 취약점에 대한 공식 패치를 제공하지 않은 상태입니다. 패치가 배포되기 전까지 아래 조치를 통해 피해를 예방하시기 바랍니다.

개인 사용자

• JavaScript 실행 비활성화
  Adobe Reader 메뉴에서 기본설정→ JavaScript → 'Acrobat JavaScript 사용 가능'  항목 체크 해제를 적용합니다. 이 설정 하나만으로 이번 공격을 포함한 JavaScript 기반 PDF 공격의 대부분을 차단할 수 있습니다. 
• 출처 불명 PDF 파일 열람 자제 
  신뢰할 수 없는 발신자로부터 받은 PDF는 열지 않습니다. 특히 인보이스, 청구서, 업계 문서로 위장한 파일에 주의가 필요합니다. 
• 보호 모드·보호 보기 설정 확인 (Adobe Acrobat Pro 사용자 해당)
  Adobe Reader의 보호 모드(Protected Mode) 및 보호 보기(Protected View)가 활성화되어 있는지 확인합니다. 두 기능이 모두 켜져 있으면 악성 PDF가 실행되더라도 피해를 최소화할 수 있습니다. 
• Adobe Reader 공식 패치 모니터링 
  Adobe의 공식 보안 공지를 주기적으로 확인하고, 패치가 배포되는 즉시 업데이트를 적용합니다. 

보안 담당자 

• 공격자 C2 서버 차단 
  현재까지 확인된 169.40.2.68:45191, 188.214.34.20:34123을 네트워크 수준에서 차단하고 접속 시도를 모니터링합니다. 단, 변종은 다른 인프라를 사용할 수 있으므로 IP 차단만으로는 충분하지 않습니다. 
• "Adobe Synchronizer" 트래픽 탐지 규칙 적용 
  User-Agent에 "Adobe Synchronizer" 문자열을 포함하는 HTTP/HTTPS 아웃바운드 트래픽을 탐지 규칙으로 설정합니다. 
• PDF 뷰어 대안 검토 
  보안이 중요한 업무 환경에서는 Adobe Reader 외 PDF 뷰어 프로그램 사용을 고려할 수 있습니다. 

 

이번 공격은 단순히 하나의 소프트웨어 취약점을 악용하는 것을 넘어, 피해자를 정밀하게 선별해 후속 공격을 설계하는 APT 수준의 정교함을 보여줍니다. 특히 현재 패치가 존재하지 않는 제로데이라는 점, 그리고 인보이스·업무 문서로 위장해 의심 없이 열어보게 유도하는 방식은 일반 사용자와 기업 모두에게 실질적인 위협이 됩니다. 

Adobe의 공식 패치가 배포될 때까지 JavaScript 비활성화와 출처 불명 PDF 열람 자제가 현재 가장 확실한 예방책임을 다시 한번 당부 드립니다.

 

 

[참고 출처]

https://justhaifei1.blogspot.com/2026/04/expmon-detected-sophisticated-zero-day-adobe-reader.html
https://thehackernews.com/2026/04/adobe-reader-zero-day-exploited-via.html