北 해킹그룹, MS 지원 종료 소프트웨어 악용한 제로클릭 공격... NCSC 보안 권고문 배포

NCSC·안랩 ‘Operation Code on Toast by TA-RedAnt’ 보고서 발표 및 보안권고
IE 취약점을 토스트 광고실행 프로그램 악용해 제로클릭 공격, 악성코드 감염 유도

[보안뉴스 박은주 기자] 최근 지원이 종료된 마이크로소프트 인터넷 익스플로어(이하 IE) 브라우저의 제로데이 취약점을 악용한 대규모 공격이 탐지됐다. 컴퓨터 하단에 떠오르는 팝업 알림을 악용하면서, 사용자 행동 없이도 공격이 이뤄지는 제로클릭(Zero-Click) 형식의 공격으로 신속한 조치가 요구된다.

▲토스트 광고 프로그램 악용한 공격 흐름도[자료=NCSC]

이에 국가사이버안보센터(NCSC)가 합동분석협의체 소속 안랩과 공동으로 IE 브라우저의 제로데이 취약점에 관한 분석 보고서 ‘Operation Code on Toast by TA-RedAnt’를 공개했다. 동시에 NCSC는 보안 권고문으로 해당 보고서를 발표했다.

제로데이 취약점을 악용한 배후는 스카크러프트(ScarCruft)로 알려진 북한의 해킹조직으로 밝혀졌다. 별칭으로 RedEyes, Group123 등으로 불리지만 이번 보고서에서는 해당 조직을 ‘TA-RedAnt’라고 명명했다.

TA-RedAnt는 IE 제로데이 취약점을 활용해 ‘토스트(Toast)’ 광고 실행 프로그램을 악용했다. 토스트는 PC 하단에 솟아오르는 형태로 나타나는 팝업 알림으로 다양한 무료 소프트웨어에 함께 설치된다.

▲Operation Code on Toast by TA-RedAnt 보고서 표지[사진=NCSC]

토스트를 사용해 광고를 띄울 때 ‘웹뷰(WebView)’라는 기능을 사용해 렌더링한다. 웹뷰는 브라우저를 기반해 동작한다. 따라서 프로그램 제작자가 IE 기반 웹뷰를 사용해 코드를 작성하면 IE 취약점이 해당 프로그램에서 동작하게 된다.

보고서에 따르면 해커는 이 점을 악용하기 위해 국내 광고 대행사 서버 중 하나를 해킹해 토스트 광고 프로그램에 IE 취약점을 삽입했다. 토스트 프로그램 실행을 위해 서버에서 받은 광고 콘텐츠를 렌더링하는 과정에서 해킹에 악용된 것이다. 이후 악성코드 감염을 유도했고, 감염 이후에는 원격 명령 등 다양한 악성 행위를 수행할 수 있었다.

취약점은 IE의 자바스크립트 엔진 ‘jscript9.dll’에 존재하는 제로데이 취약점(CVE-2024-381782, CVSS 7.5)이 악용됐다. 안랩에 따르면 해당 취약점은 IE의 자바스크립트 엔진으로 최적화 과정에서 데이터 타입을 잘못 해석해 Type Confusion이 발생함으로써 취약점이 생겼다고 설명했다. 이는 TA-RedAnt가 2022년 악용한 IE의 Type Confusion 취약점(CVE-2022-411283)에 간단한 코드를 추가해 보안 패치를 우회한 원격 코드 실행(RCE) 취약점이다.

마이크로소프트는 2022년 6월 IE 지원을 종료했으나 위 사례와 같이 여전히 IE를 사용하고 있는 일부 윈도우 애플리케이션을 노린 공격이 꾸준히 발견되고 있다. 조직 및 사용자의 각별한 주의와 함께 보안 패치 업데이트가 요구된다.
[박은주 기자(boan5@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)