IE 6·7·8 대상 제로데이 공격 국내 발생!

국내 화상회의 솔루션 제공업체 홈피에 제로데이 공격 악성링크 추가

CVE 2012-4792 명명...IE 9 이상 사용하거나 발표된 Fix-it 적용해야

[보안뉴스 권 준] MS의 인터넷 익스플로러(IE) 브라우저 6, 7, 8 모든 버전에 영향을 미치는 공격이 국내에도 직접 발생한 정황이 포착돼 사용자들의 각별한 주의가 요구된다.

빛스캔(대표 문일준)에 따르면 CVE 2012-4792로 명명된 해당 취약성은 원격코드 실행 취약성으로, IE 브라우저에서 CDwnBindInfo 오브젝트가 사용된 이후 FollowHyperlink2 메소드에 의해 해제될 때 발생되는 취약성으로 알려졌다.

또한, 해당 취약성은 타깃 공격에 이용된 정황이 지난 연말에 발견됐고, 주로 중국·대만·미국을 대상으로 공격이 발생되고 있다고 보고된 바 있는데, 국내를 대상으로 한 공격사례가 존재한다는 사실이 빛스캔의 PCDS를 통해 최초로 탐지된 것이다.

이번 취약성은 최초 웹사이트를 통한 직접 감염이 가능한 형태로 해외에서 먼저 보고됐으며 미국 외교자문위원회 홈페이지를 해킹하여 모든 방문자들에게 IE 취약성 공격이 발생된 사례가 지난해 12월 27일 파이어아이(Fireeye) 사의 블로그를 통해 공개된 바 있다.

국내에서는 지난해 12월 26일로, 대규모 공격에 활용되지는 않았으나 화상회의 솔루션 제공업체의 홈페이지에 IE 제로데이 취약성을 이용하는 악성링크가 추가되어 모든 방문자들에게 감염시도를 한 정황이 최초로 발견됐다는 것이 빛스캔 측의 설명이다.

이와 관련 빛스캔 관계자는 “현재는 해당 취약성에 대한 전문분석이 진행 중으로 빠른 시일 내에 빛스캔의 정보제공 서비스 구독 고객사에 전달되고, Exploit-db 게재도 진행될 예정”이라고 밝혔다.

이렇듯 국제 사이버전 및 정보유출에 주로 사용될 것으로 예상되는 제로데이 공격들이 현재 한국 인터넷 사용자들을 대상으로 지속적으로 발생되고 있다.

해외에서 발견된 공격은 중요 인사들이 회원으로 가입해 있는 美 외교자문위원회 홈페이지를 대상으로 발생된 반면, 국내에서는 화상회의 솔루션 제공업체에서 제로데이 공격이 발견된 것과 관련해서 빛스캔 측은 해당 업체의 화상회의 솔루션을 국내 굴지의 대기업들과 경제관련 단체, 기관들이 이용하고 있어 정보유출 목적으로 공격이 감행됐을 가능성이 높은 것으로 판단하고 있다.

IE 제로데이 취약성은 현재 exploit-db에 메타익스플로잇(Metasploit) IE 제로데이 PoC 코드가 공개되어 있는데, 국내를 대상으로 한 공격에는 아직 대규모 공격으로 전이된 정황은 포착되지 않은 것으로 알려졌다. 즉, 해당 제로데이 취약성만을 이용한 공격이 발견된 상황이지만, 곧 국내를 대상으로 한 공격 킷에 포함되어 적극 활용될 것으로 보여 우려가 높아지고 있다.

IE 제로데이 공격코드 연결 구조- 국내 발견 링크

26일부터 발견된 IE 제로데이 난독화된 공격 코드(국내 발견)

26일 발견된 공격 코드 Decode 결과

이와 관련 빛스캔 관계자는 “국내 발견된 사례를 통해 공격코드를 Decode 해보면 메타익스플로잇에 공개된 PoC 코드와 유사한 형태를 띠는 것을 확인할 수 있다”며, “MS에서 1일 긴급하게 해당 취약성 공격이 발생되지 않도록 하는 Fix-it을 발표했지만, 정식 패치가 아니라서 앞으로 정식 업데이트가 이루어지기 전까지 심각성이 매우 높은 상황”이라고 우려했다.

국내 주요 전자상거래 환경은 IE 6,7,8 버전이 주 대상이라고 할 수 있다. 그렇기에 현재 시점에서 피해를 예방하기 위해서는 IE 9 이상의 버전으로 업데이트 하는 것이 가장 바람직하다. 그러나 하위버전을 사용해야 할 경우에는 MS에서 발표된 Fix-it을 긴급하게 적용할 것을 빛스캔 측은 권고했다.

2012년 6월에도 MS XML Core Service의 취약성을 이용한 제로데이가 국내에서 대규모로 활용된 사례가 있다. 그 당시 CVE 2012-1889 취약성은 7월초 MS의 Fix-it이 발표됐지만 정식 해결책이 아닌 임시방안이라 공격이 계속 이어졌다. 특히, 7월의 MS 정기패치가 발표된 이후 지금까지도 XML 취약성을 이용한 공격은 계속되고 있어 이번 IE 제로데이 취약성의 경우도 대규모로 활용될 가능성이 상당히 높은 상태라고 할 수 있다.

CVE 2012-1889 MS XML 취약성 대응 타임라인

빛스캔 관계자는 “현재 화상회의 솔루션 업체 홈페이지의 악성링크는 여전히 살아있는 상태이며 빠른 시일 내에 대규모 공격에 이용될 것으로 판단되어 긴급 대응이 요구된다”며, “빛스캔의 탐지 DB를 이용한 차단장비(TriCubeLab)를 이용한 경우 국내 제로데이 공격 악성링크는 즉시 차단된 상태를 유지하고 있다”고 밝혔다.

덧붙여 그는 “국내 업체에서 개발한 화상회의 솔루션을 사용하는 기업 및 기관은 IE 브라우저를 사용하거나 솔루션 내에 해당 회사 링크가 있을 경우 감염위험이 극도로 높아 신속한 대응이 필요하다”며, “현재 화상회의 솔루션은 국내 수출관련 대기업과 기관이 다수 사용하고 있는 상태로 화상회의 솔루션 제공 업체에 대해서는 info@bitscan.co.kr로 문의할 경우 제한적으로 제공할 것”이라고 밝혔다.

[참고자료 및 관련 발표내용]

-파이어아이 측에서 발표한 美 외교자문위원회 홈페이지 해킹을 통한 제로데이 공격 발생

http://blog.fireeye.com/research/2012/12/council-foreign-relations-water-hole-attack-details.html

-exploit-db에 공개된 Metasploit IE 제로데이 PoC 코드

http://www.exploit-db.com/exploits/23754/

-IE CVE-2012-4792 긴급 대응을 위한 MS Fix-it

http://support.microsoft.com/kb/2794220

[권 준 기자(editor@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)