안랩, 제로데이 취약점 발견…“익스플로러 허점 노렸다”

마이크로소프트의 인터넷 익스플로러 취약점을 악용한 제로데이 공격 사례가 나왔다. 광고 실행 프로그램을 악용해 원격 명령을 내리는 등 PC 사용에 해를 끼칠 수 있어 각별한 주의가 필요하다.

안랩은 16일 안랩 시큐리티인텔리전스센터(ASEC) 분석팀과 국가사이버안보센터(NCSC) 합동분석협의체가 이 같은 내용의 합동 분석 보고서를 발표했다고 밝혔다.

제로데이는 해킹에 악용될 수 있는 시스템 취약점 중 아직 보안패치가 발표되지 않은 취약점을 말한다. 안랩과 NCSC가 발견한 이번 사례는 최근 다양한 무료 소프트웨어에서 함께 설치되는 특정 ‘토스트(Toast)’ 광고 실행 프로그램을 악용한 것이 특징이다. 토스트란 PC화면 하단에서 솟아오르는 형태로 나타나는 팝업 알림을 말한다.

공격자는 특정 토스트 광고 프로그램이 광고 콘텐츠를 다운로드 할 때 지원이 종료된 인터넷 익스플로러 모듈을 사용한다는 점을 노렸다. 공격자는 먼저 토스트 광고 프로그램이 광고 콘텐츠를 제공받는 특정 국내 광고 대행사의 서버를 공격해 권한을 획득했다. 이후 해당 서버의 광고 콘텐츠 관련 스크립트에 취약점 코드를 삽입했다.

해당 취약점은 인터넷 익스플로러의 자바스크립트 엔진(jscript9.dll)이 데이터 타입을 잘못 해석해 오류(Type Confusion)가 발생하도록 유도하는 것이다. 공격자는 이 점을 활용해 토스트 광고 프로그램이 설치된 PC에 악성코드 감염을 유도했다. 감염 이후에는 원격 명령 등 다양한 악성행위를 수행할 수 있다는 게 안랩의 설명이다.

양 기관은 해당 취약점을 즉시 마이크로소프트에 신고했다. 마이크로소프트는 지난 8월 정기 패치에서 해당 취약점에 대해 공식 CVE 코드)를 발급하고 관련 패치도 완료했다

안랩은 지원이 종료된 인터넷 익스플로러라도 여전히 익스플로러 모듈을 사용하고 있는 일부 윈도우 어플리케이션을 노린 공격이 빈번해 사용자의 각별한 주의가 필요하다고 조언했다.

피해 예방을 위해 사용자는 운영체제와 소프트웨어 보안 패치 업데이트를 수시로 진행해야 한다. 또한 소프트웨어 제조사에서는 제품 개발 시 보안에 취약한 개발 라이브러리 및 모듈 등이 사용되지 않도록 주의해야 한다.

송태현 안랩 ASEC 분석팀 선임 연구원은 “최근 다양한 취약점을 악용한 공격이 증가하는 추세로, 피해 예방을 위해 사용자들은 운영체제 및 소프트웨어 등의 보안 업데이트를 정기적으로 진행하는 등 기본 보안수칙 준수가 매우 중요하다”고 말했다.

글. 바이라인네트워크
<이진호 기자>jhlee26@byline.network