MS 윈도우와 IE에서 잇따라 제로데이 취약점 발견

입력 : 2016-05-12 11:12

해커들과 보안 전문가들만 아는 취약점 늘어나... 공개 시점은 언제?
제로데이 취약점의 수 자체도 증가 추세... 특히 오래된 기술에서

[보안뉴스 문가용] 의료, 요식, 도소매 산업의 기업 및 조직들 100여 곳이 올해 초 스피어피싱 공격에 많은 피해를 입었다. 그중 일부는 윈도우 시스템의 제로데이 권한 상승 취약점으로 인해 피해를 본 것으로 알려졌다. 특히 PoS 시스템에 설치된 윈도우가 주요 공격 목표였다고 보안업체인 파이어아이(FireEye)가 밝혔다.

파이어아이는 지난 두 달여간, 공격자들이 100개가 넘는 곳에 악성 워드 문서를 발송해 접근 권한을 취득하는 사건을 접해왔으며, 하나하나 조사를 벌였다고 한다. 해당 워드 문서에는 악성 매크로가 실행시킬 경우 다이내믹 링크 라이브러리 다운로더인 펀치버기(PUNCHBUGGY)가 1차 감염을 일으키고 HTTPS를 통해 악성 멀웨어를 추가로 다운로드 된다. 이것만으로도 시스템 단계의 접근 권한을 탈취할 수 없을 때, 공격자들은 추가로 윈도우의 제로데이 취약점을 익스플로잇해서 로컬 및 도메인 크리덴셜을 훔쳐내는 데 성공했다고 한다.

“그렇게 해서 한 번 권한을 갖게 되면 네트워크 내에서 동-서로 움직여 여러 시스템에 접근했습니다.” 그러고 난 후, 공격자들은 다운로드를 사용해 메모리 스크래핑 툴인 펀치트랙( PUNCHTRACK)을 추가로 투입시켰다. 결제카드 데이터를 다루는 시스템을 파악하고 민감한 정보들을 훔쳐내기 위함이었다. 해당 공격 방법이나 멀웨어는 PoS 시스템을 공격하기 위해 특수 제작된 것은 아니며, 다른 여러 시스템에서도 활동이 가능하다.

이 제로데이 취약점은 MS 그래픽 컴포넌트(Graphic Component)에서 발견된 CVE-2016-0167로 지난 달에 패치가 나온 상태다. 하지만 MS의 소프트웨어 중 상당수가 그래픽 컴포넌트를 차용하고 있기 때문에 이 취약점은 윈도우에만 해당되는 것이 아니라고 파이어아이는 경고한다. 게다가 이미 이를 활용한 공격이 적잖은 피해를 입힌 상태다.

시만텍도 MS의 인터넷 익스플로러에서 제로데이 취약점을 발견했다고 보도했다. 이 취약점은 CVE-2016-0189로 시만텍에 따르면 원격 메모리 커럽션 취약점의 일종이다. 인터넷 익스플로러의 스크립트 엔진에 영향을 준다. 익스플로잇은 피싱 이메일을 통해 퍼졌는데, 한국에서는 일부가 제한적인 형태로 익스플로잇 된 적이 있다고 시만텍은 설명했다. 하지만 지금은 패치가 된 상태다.

이처럼 제대로 공개되지 않고, 범죄자들이 먼저 알고 끼리끼리 공유하는 취약점들이 점점 늘어나고 있다는 건 커다란 문제가 될 가능성이 높다. 시만텍은 최근 보고서를 통해 2015년 보고된 제로데이 취약점은 총 54개였으며, 이는 2014년에 보고된 24개보다 125%나 많은 수라고 설명했다. 하지만 이처럼 해커들이 먼저 발견하는, 보고가 아직 되지 않은 취약점들까지 생각하면 이는 빙산의 일각일 수도 있다.

이에 따라 해커들로서는 제로데이 취약점을 찾는 것에 많은 초점을 맞출 것으로 보이고, 보안 업계는 제로데이 취약점의 발견 및 발 빠른 공유와 패치에 대한 논의를 진행해야 할 것으로 보인다. 게다가 시만텍이 “이미 연차가 꽤나 높은 과거의 기술들에서 특히 제로데이 취약점이 많이 발견된다”며 “어도비의 플래시 플레이어에서는 10개, MS 윈도우와 IE, 오피스에서 또 10개가 나왔다”고 밝힘에 따라 소프트웨어 지원 문제도 대두될 가능성도 높아 보인다.

파이어아이아와 시만텍 모두 비교적 일찍부터 발견한 제로데이 취약점을 이제야 공개한 이유로 “패치가 먼저 나와야 하기 때문”이라고 설명했다. 아직까지 취약점의 공개는 ‘패치 발표 이후’에 하는 것이 업계의 암묵적인 규칙이다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

- 국내 최대 규모의 개인정보보호 컨퍼런스 PIS FAIR 2016 - 6월 9일(목)~10일(금) 개최
- 공공·금융·민간 CPO, 개인정보처리자, 보안담당자 등 4,000여명 참석
- 공무원상시학습, CPPG, CISSP, CISA, ISMS등 관련 교육이수(최대 16시간) 인정
- CPO, 개인정보처리자, 보안담당자 등 사전 무료 참관등록(www.pisfair.org/2016/)

문가용기자 기사보기

• “
•  SNS에서도 보안뉴스를 받아보세요!! 
• ”

• 조회순
• 추천순
• 스크랩순

• 1

  업무 관련 메일로 위장해 유포 중인 악성코드...

• 2

  [개인정보 보호법 해석 사례-④] 인사·노무...

• 3

  배블로더, 그리 획기적이지 않은 기술을 매우...

• 4

  최근 페이스북에서 유행하는 멀버타이징 캠페인...

• 5

  [긴급] 국세청 등 정부 사칭 미끼 문자와 ...

• 1

  [개인정보 보호법 해석 사례-④] 인사·노무...

• 2

  악명 높은 봇넷 엔지오웹, 각종 범죄 인프라...

• 3

  [정보세계정치학회 칼럼] 데이터·공급망 안보...

• 4

  북한 IT노동자, 가짜 이력서로 서방국 취업...

• 5

  연말시즌, 해커도 성수기... 해커들이 만든...

• 1

  580억원 상당의 가상자산 탈취사건, 북한 ...

• 2

  개인정보 유출 사고 대응방안 논의... 공공...

• 3

  인류를 위한 인공지능 거버넌스, 어떤 제안 ...

• 4

  깃허브에서 활동하는 개발자들을 노리는 고급 ...

• 5

  [단독] 한국지능정보사회진흥원, 관리자계정 ...