정상사이트 변조해 ActiveX로 악성코드 유포 주의!

이스트소프트, 알약에 긴급 업데이트 배포

[보안뉴스 김태형] 최근 사이버 테러 등의 사회적으로 커다란 보안이슈가 발생한 가운데 기존의 익스플로잇 킷을 이용한 방식에 추가적으로 ActiveX 설치방식을 활용한 악성코드 유포가 새롭게 발견되어 사용자들의 주의가 필요하다.

▲ 악성코드 감염에 사용된 액티브 엑스 설치 유도 창

알약을 서비스중인 이스트소프트는 일부 특정 사이트의 웹페이지를 변조한 후. 사이트 방문자를 대상으로 Adobe Flash Player로 위장한 ActiveX를 설치하도록 유도하여 악성코드를 감염시키는 시도가 발견되어 알약에 긴급 업데이트했다고 밝혔다.

수 년 전부터 공격자들은 다양한 익스플로잇 킷(Exploit-kit)을 이용해 매일 많은 웹사이트를 변조시켜 해당 웹사이트에 방문하는 것만으로도 보안패치가 이뤄지지 않은 취약한 사용자 PC를 감염시키고 있다.

그런데 이번에 발견된 악성코드 유포방법의 경우 기존에 거의 사용하지 않았던 ActiveX 방식을 이용했고 Adobe Flash Player로 위장했으며, 정상적인 인증서를 도용하였기 때문에 Internet Explorer에서 브라우저 버전에 상관없이 설치가 되며 이를 통해 추가적인 악성코드를 다운로드 하여 실행까지 가능하게 만드는 특징을 가지고 있다.

사용자가 한번 ‘설치’ 동의를 하면 이후 같은 컴포넌트를 사용 할 때는 설치 동의를 추가로 받지 않아도 실행이 가능한 ActiveX 방식의 특성상, 공격자들이 언제든지 마음만 먹으면 새로운 악성코드를 지속적으로 배포할 수 있기 때문에 이는 잠재적으로 높은 보안위협으로 다가올 가능성이 있다.

▲ Adobe Flash Player 설치 유도창

정상 웹 페이지에 삽입된 악성 스크립트는 아래 그림과 같으며 특정 클래스의 인자로 url을 넣어두면 원격 서버에서 파일을 내려받고 실행까지 가능하다.

▲ 악성코드에 이용된 액티브X 설치 코드

이러한 감염 방식은 최초 사용자의 클릭행위가 필요한 반자동화된 방법이지만, 대부분의 사용자가 방문한 사이트에서 뜬 Adobe Flash Player로 위장한 ActiveX 설치창을 보고 별다른 의심 없이 무심코 ‘설치’를 클릭하기 때문에 공격자 입장에서는 어렵지 않게 사용자 PC를 감염시킬 수 있다.

더구나 정상적인 디지털서명을 도용했기 때문에 Internet Explorer에서는 정상적인 ActiveX로 인식하여 별도의 경고메시지도 띄우지 않는 상태이다.

이렇게 감염된PC에서는 최종적으로 온라인게임 계정을 탈취를 목적으로 하는 악성코드 및 추가적인 악성코드를 다운로드하고 실행할 수 있는 악성코드에 추가로 감염이 되게 된다.

현재 알약에서는 해당 악성코드들에 대해 Trojan.Downloader.Agent.AFP, Spyware.OnlineGames.wsxp,Trojan.Dropper.Agent.27136,Trojan.Dropper.Agent.13824, Trojan.Rootkit.Agent.nff로 각각 탐지하고 있으며 추가적인 변종이 나올 것에 대비한 모니터링을 진행중이라고 밝혔다.

이스트소프트 알약개발부문 김준섭 부문장은 “사용중 인 OS나 SW의 보안패치는 항상 최신버전으로 유지해야 하며 추가적으로 사용자들은 사이트에 방문했을 때, ActiveX 설치 창이 뜨는 경우 확실한 경우가 아니라면 무조건 설치하지 말고, ActiveX 설치 창에서 보여지는 배포 회사가 실제 ActiveX 제조사와 일치하는지 주의 깊게 살펴볼 필요가 있다”고 말했다.

[김태형 기자(boan@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)