안드로이드OS용 폴라리스 오피스와 네이버오피스에서 hwp파일 열기 실패/콘텐츠 무해화·재조합(CDR) 보안 솔루션에서 hwp는 도태될까?

알람뜨는 게 귀찮아서 꺼놓긴 했는데, 그래도 중요한 업데이트가 있으면 실행할 때 팝업이 뜰 텐데.. 신경안쓰면 그런 거 없이 떠서 기능부전인 앱도 본 적 있기는 합니다만.. 어쨌든 최신 버전 hwp파일은 읽지 못합니다. 암호걸린 파일도 아닌데 렌더링문제가 아니라 텍스트를 아예 표시하지 못한다는 게 의외네요. 그렇게 많이 바뀌었나?

MS오피스의 doc파일은 (다른 데서 쓰던 포맷을 가져와 뜯어썼다는 말도 있는) 초기버전(너무 오래전것은 요즘 버전에서 못 읽는다고)과 나중 버전이 호환이 안 된다는 이야기를 읽은 적 있습니다. 그리고 MS는 2007부터는 docx를 썼죠. 그 후에 기능이 추가되며 앞버전에 컨버터를 추가해도 뒷버전 파일을 완전히 읽지 못하거나 온전하게 표시해주지 못하는 일은 있습니다만, 하지만 MS것은 확장자가 같으면 기본 레이아웃과 내용의 골자는 웬만하면 읽을 수 있었습니다. 적어도 공공기관에서 받은 파일은 그랬어요. 비록 이런 창을 보긴 하지만.

한컴오피스 PC용 뷰어도 뒷버전 파일을 읽을 수 있게 해주는 업데이트를 하면 읽을 수 있습니다. 새 버전 파일을 읽으면 위 MS것과 비슷하게 알람은 뜨지만 그런 대로 읽어 보여주고 제가 사용하는 범위 안에서 깨진 일은 없습니다. MS의 doc, docx나 한컴의 hwp나 그런 알림이 뜰 때는 그냥 소프트웨어회사의 흔한 면책고지라고 생각했습니다.

한컴의 hwp는 1.x시절과 2.x~815시절^[각주:1]과 완전히 갈아엎었다는 5.0이던가 그 이후가 다른데 여긴 그냥 모두 동일하게 hwp 확장자를 사용합니다. 그리고 이젠 한컴 자기네 오피스/뷰어조차 1.x파일은 읽지도 못하는 것 같고^[각주:2] 8.15때 쓰던 포맷은 읽고.. 그런데 내부적으로는 새 버전에서 뭔가 엎은 모양이군요. 한컴오피스 2010에서 작성한 hwp나 한컴오피스 2018에서 작성한 hwp나 포맷의 기본은 같을 것이라고 생각했는데 아예 읽지 못하거나 암호가 걸렸다고 불평하다니..

네이버 오피스

폴라리스 오피스

오피스 2003이나 호환오피스 프로그램으로 미국정부사이트의 ms오피스 포맷 파일을 읽을 때는 아예 안 열리는 일을 겪은 적 없었던 것 같은데., 한컴 얘들 왜 이러죠? 그리고 우리 정부는 웹사이트에 게시하는 파일 버전 관리를 어떻게 하는 겁니까? (hwp만이 아니라 xls도 그런 경고를 띄웁니다. 위의 알림창도 정부사이트에서 받은 문서를 열다 나온 것) 마음에 안 들어요.

정부는 아래와 같은 걸 하면서 좀 갈아 엎기를 바랍니다.

일본 이어 국내에서도 무해화·재조합(CDR) 보안 솔루션 시장 개화…보안업체 경쟁 치열 - 전자신문

출처: 전자신문

• 문서 안에 악성코드를 숨겨 들어오는 파일리스(Fileless) 형태 사이버 보안위협 대응
• 파일 내 악성코드를 삭제하는 콘텐트 무해화·재조합(CDR; Content Disarm and Reconstruction) 보안 솔루션.
  "CDR는 보안 탐지 방어 관점이 아닌 악성 공격 가능성을 내재한 요소·형태를 사전에 제거해 예방"
  파일에 포함된 다양한 액티브 콘텐츠를 분석·무해화해 안전한 요소만 재조합한 형태로 콘텐츠를 전달
  => 즉, 이 기능을 구현하려면 반드시, 서드피티 보안 회사들이 다룰 수 있도록 파일 포맷이 공개돼 있거나, 서드파티 회사들이 다룰 수 있는 구버전 포맷을 사용해서 문서를 교환해야 할 겁니다.
  
  
• 일본 정부가 2020년 도쿄 올림픽 개최를 앞두고 올림픽 관련 기관이 사이버 범죄 대응책을 마련하면서, 분리된 네트워크 환경에서 유입되는 파일 무해화를 법제화일본 정부가 파일 무해화 처리를 의무화하면서 일본에서 시장 개화. 한국에서도 움직임.
  
• "CDR 기술이 주목받는 이유는 보안위협이 변종·고도화하면서 기존 보안 솔루션 대응이 한계를 겪기 때문이다. 시그니처 기반 정적 분석은 알려진 악성코드만 탐지·방어한다. 알려지지 않은 공격은 사실상 대응이 어렵다. 행위분석으로 악성코드를 탐지하는 동적 분석도 우회공격에는 무방비다." - 전자신문

전에도 적었듯이, 저는 hwp, doc, xls, ppt, pdf 포맷을 인트라넷이 아닌 인터넷상에서 암호화하지 않고 공개 게시, 교환하는 목적으로 사용할 때는 그 포맷들의 1997~1999년 버전 정도만으로도 충분하다고 생각했습니다. 그 수준이라면 적어도 독점소리는 안 나오게, 웬만한 소프트웨어 회사들과 무료 소프트웨어를 제작하는 단체들이 뷰어를 짜서 읽거나 편집할 수 있거든요. 소위 국제표준 포맷(ODF같은 것)으로 교환할 수도 있겠지만 그래도 ODF지원에서 빠진 각 포맷의 특징을 이용하겠다면 말입니다. 그리고 ODF는 물론이고 저런 구버전 포맷은 위 기사에서 언급한 CDR시스템이 처리하는 데 아무런 지장이 없을 겁니다. 하지만 아직 공개되지 않은 최신 상용 포맷이라면 처리하지 못하겠죠.

1. 이 때도 2.0과 2.1 사이던가? 한 번 단절이 있었지 싶은데요. 그 때 한컴이 문서관리와 기술자관리를 안 해서 자기들도 구조를 몰라서 프로그램 버그도 못 고치고 파일포맷공개를 하고 싶어도 못 한다는 루머가 있었을 정도 [본문으로]
2. 그래서 1.51까지의 구버전 hwp파일은 옛날에 나온 호환 프로그램, 뷰어를 사용합니다.웃지 못할 일입니다. [본문으로]