세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
사이버 정보전 악용 취약점에 국내 보안종사자들 ‘긴장’
  |  입력 : 2017-09-18 11:05
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
MS 윈도우 NET 프레임워크 취약점, 사이버 스파이 그룹에 의해 악용
원격감시 등 사이버 첩보 목적으로 악용될 수 있어...보안 업데이트 필수


[보안뉴스 김경애 기자] 최근 마이크로소프트(MS)에서 보안 업데이트를 발표했다. 이 가운데 사이버 정보전을 목적으로 활용된 제로데이 취약점이 국내 보안전문가들 사이에서 주목받고 있다.

▲취약한 WSDL 파서[자료=파이어아이]


사이버 정보전 목적으로 악용된 취약점은 MS 윈도우의 .NET 프레임워크(Framework)를 타깃으로 한 CVE-2017-8759 취약점이다. 해당 취약점은 공격자에 의해 .NET Framework 구성요소에서 비정상적인 유효성 검사가 이루어질 경우 원격코드 실행이 발생할 수 있다.

해커는 해당 취약점을 바탕으로 피해자가 전자 메일을 통해 특수하게 조작된 문서나 응용 프로그램을 열도록 유도할 수 있다. 이를 통해 영향을 받는 시스템을 제어할 수 있고, 프로그램을 설치해 데이터를 보거나 변경·삭제할 수 있다. 뿐만 아니라 완전히 사용자 권한을 탈취해 새 계정을 만들 수도 있다.

▲취약점으로 악용될 수 있는 예시 화면 [이미지=ExploitWareLabs]


이번에 발견된 제로데이 취약점과 관련해 ExploitWareLabs(닉네임)은 “원래는 FINSPY라고 러시아 해커들이 미국을 해킹할 때 사용했던 제로데이 취약점”이라며 “.NET framework로 개발된 애플리케이션(docx, pptx 등)의 SOAP moniker를 사용하는 WSDL에 임의 실행코드를 삽입할 수 있는 취약점이다. docx, ppt에 매크로 형태로 실행코드를 숨기면 드라이브 바이 다운로드(Drive-by-Downlaod) 형태의 공격이 가능하다”고 설명했다.

해당 취약점이 정보전 목적으로 활용됐다고 분석한 파이어아이(FireEye) 측은 “악성문서 ‘Проект.doc’는 러시아어 사용자를 타깃으로 공격했을 가능성이 있다”며 “제로데이 취약점 공격 성공시 다수의 요소가 다운로드되고 핀피셔(FinFisher)가 설치됐다”고 밝혔다.

윙버드(Wingbird)로도 알려진 핀피셔 멀웨어는 합법적 해킹 용도로 구매가 가능한데, 다수의 고객들에게 판매된 것으로 알려졌다. 이는 각종 공격에 해당 취약점이 악용됐다는 의미로, 사이버 스파이 활동 목적으로 러시아어를 사용하는 사람들을 대상으로 광범위하게 사용됐을 가능성이 높다.

또한 파이어아이는 CVE-2017-8759 취약점과 관련해 다른 공격자들이 추가로 사용됐을 가능성도 발견했다고 밝혔다. 2017년 4월 발생한 핀피셔 유포에 사용된 제로데이 취약점(CVE-2017-0199)이 금전적 동기를 가진 공격자들로부터 동시에 사용된 것으로 확인됐다고 분석했다. 또한, 핀피셔 공격자들이 기존과 동일한 출처로부터 취약점을 확보했다면, 해당 출처는 다른 공격자들에게도 취약점을 판매했을 가능성이 높다고 덧붙였다.

핀피셔는 웹캠을 켜고, 사용자가 키로거로 입력하는 모든 것을 기록한다. 또한, Skype 통화를 가로채고, 파일 복사 등을 통해 컴퓨터를 은밀하게 모니터링하며, 피해자 컴퓨터에서 다양한 종류의 비밀작업을 수행할 수도 있는 것으로 알려졌다.

이처럼 공격자에 따라 다양하게 악용될 수 있고, 대규모 피해를 입힐 수 있다 보니 국내에서도 해당 취약점에 대한 관심이 높다. 특히, 다른 대상자들을 공격한 행위가 이미 지난 7월에 발생했을 가능성이 제기된 만큼 긴장의 끈을 놓지 않아야 한다는 지적이다.

이번 취약점의 위험성에 대해 ExploitWareLabs는 “이 취약점이 위험한건 .NET Framework로 개발된 환경이면 영향을 받을 수 있어 해외에서도 이슈가 되고 있다는 점”이라며 “공격방법은 매크로 형태로 원격지 사이트에서 악성코드까지 다운로드 할 수 있다”고 분석했다. 또 다른 보안전문가도 “제대로 대처하지 못하면 대규모 해킹 공격으로 내부정보가 유출될 수 있다”고 우려했다.

특히, 뚫릴 때까지 특정 타깃을 지능적으로 공격하는 APT 공격에 악용될 수 있다는 점에서 각별한 주의가 요구되고 있다. 더욱이 APT 공격은 북한 해커조직들이 주로 사용하는 공격기법이라 악용 가능성이 그만큼 높다는 얘기다.

기업의 한 CISO는 “‘사이버 정보전’ 목적으로 활용된 제로데이 취약점은 공격자에 따라 다양하게 악용될 수 있다”며 “국내의 경우 북한의 사이버공격도 배제할 수 없는 만큼 보안 패치에 더욱 신경써야 한다”고 강조했다.

그레이해쉬 강흥수 연구원은 “이번에 발견된 제로데이 취약점은 타깃 공격과 같이 APT 공격에 유용한 것으로, 공격자가 문서 파일을 이메일로 보내 공격대상이 문서를 수신하면 시스템이 감염될 수 있다”고 우려했다.

익명을 요청한 또 다른 보안전문가는 “보통 실행파일은 메일 시스템에서 차단하는 경우가 많지만 문서 파일은 그렇지 않다”며 “한동안 MS 오피스 관련 취약점이 잘 나오지 않다가 올해 하나둘씩 발견되기 시작했으며, 실제 해당 취약점을 이용한 공격도 증가 추세”라고 분석했다. 덧붙여 그는 “공격자가 해당 취약점을 본격적으로 활용할 것으로 예상된다”며 “워드 사용자는 피해가 발생하지 않도록 최신 버전으로 업데이트 할 것”을 당부했다.

해당 취약점의 경우 윈도우 10 사용자 중 MS의 ATP 보안기능 소프트웨어(Windows Defender Advanced Threat Protection)가 설치·운용 중인 경우에만 보안 패치를 적용하지 않아도 취약점 공격이 차단될 수 있다.

문제는 그 이하 버전이다. 윈도우 10 사용자가 많은 해외에 비해 국내는 윈도우 10 이하 사용자가 훨씬 더 많다. 이 때문에 피해가 발생할 경우 파급력으로 인해 피해 규모가 엄청나게 커질 수 있어 무엇보다 빠른 취약점 패치가 중요하다.

전수홍 파이어아이 코리아 지사장은 “일반적으로 제로데이 공격은 정부기관, 방위산업, 법조계, IT회사, NGO 단체 등 다양한 산업군을 타깃으로 하고 있으며, 제품 공급사에서 패치를 제공하기 전까지는 탐지 및 차단이 거의 불가능하다”며 “새로운 제로데이 익스플로잇을 사용하는 유사한 공격이 패치가 제공되기 전에 국내에도 진행될 가능성이 매우 높다. 따라서 기업들의 각별한 주의가 필요하다”고 말했다.

카이스트 김용대 교수는 “해당 제로데이 취약점은 사용자와의 상호작용 없이도 공격이 가능하기 때문에 해커가 어떻게 공격기술을 활용하느냐에 따라 다양하고 은밀하게 악용할 수 있다”며, “어떻게 악용하느냐에 따라 워드, 엑셀, 파워포인트 뿐만 아니라 아웃룩, 스카이프 등 피해범위가 확산될 수 있다. 따라서 피해 예방을 위해 신속한 패치가 중요하다”고 말했다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>



비츠코리아 파워비즈시작 2017년7월3일파워비즈 배너
설문조사
2017년은 3분기까지 침해사고 수가 2016년 전체 침해사고 수를 앞지르는 등 급증하는 침해사고로 신기록을 세운 해입니다. 지난 한 해 동안 발생한 침해사고 중 가장 심각한 유형은 무엇이라고 생각하시나요?
기업의 개인정보 및 신용정보 유출 ex) 에퀴팩스 사태
한국을 겨냥한 북한의 사이버 공격 ex) 하나투어 등
가상(암호)화폐 탈취 위한 사이버 공격 ex) 거래소 해킹, 피싱 이메일 등
대규모 랜섬웨어 공격 ex) 워너크라이, 낫페트야
공공 클라우드 설정 오류 및 보안 미비로 인한 사고 ex) AWS, 구글 그룹스
사물인터넷 보안 미비로 인한 침해사고 ex) IP 카메라 해킹
기타(댓글로)