2024-03-29 17:00 (금)
MS XML 제로데이 대공습…웹서핑 금지 수준!
상태바
MS XML 제로데이 대공습…웹서핑 금지 수준!
  • 길민권
  • 승인 2012.07.05 01:09
이 기사를 공유합니다

제로데이 공격 성공률 90%에 육박…10명 중 9명은 감염
웹사이트 방문만해도 감염…백신 우회해서 공격!
이번주 악성코드 공격의 가장 큰 특징은 패치가 없는 제로데이(CVE 2012-1889 MS XML Core Service)의 대공습이라고 정의할 수 있다.
 
빛스캔(문일준 대표) 관계자는 “공격자들도 비용 대비 효과를 계산한다. 이전까지는 최대 6가지 이상의 취약성을 공격하는 형태였으며 이 공격의 성공률은 60% 정도”였다며 “반면 지난 주에 새로운 공격기법으로 장착된 제로데이(2012-1889) 공격으로 인해 공격 성공률은 대폭 높아졌다. 국내 IE 사용자 비율로 보았을 때 상당한 규모의 감염이 예상된다”고 밝혔다. 

 
모든 악성링크들은 공격성공률을 확인하기 위한 통계 정보 수집을 하고 있으며 각 IE, Java, Flash 부분에 대한 권한 획득 부분으로 분류해 그에 맞는 공격코드들을 실행하고 있다.
 
그 이후 PC의 권한을 획득하고 최종 악성코드들을 다운로드 해서 PC에 설치하게 된다. 이 성공률이 제로데이 출현 이전에는 60%였다면, 제로데이 공격으로는 최소 90% 수준이라는 것이다.
 
전상훈 빛스캔 기술이사는 “제로데이 출현 이전에는 공격 성공률과 범위 확대를 위해 대규모 Malware-net을 운영하고 적극적으로 활용했지만 지금 상황에는 Malware-net을 운영하지 않아도 충분한 공격효과를 거둘 수 있기 때문에 적극적으로 맬웨어넷 운영을 하지 않는 것으로 파악된다”고 설명했다.
 
빛스캔과 KAIST 사이버보안연구센터(주대준 부총장)에서 공동 운영하는 보안정보 제공 서비스 6월 4주차 국내 인터넷 환경의 위협 분석 내용에 따르면 이번주 공격의 특징은 다음과 같이 정리된다.
 
◇Malware-Net 활동의 축소(공개에 따른 대응도 영향을 미쳤을 것으로 판단) 및 제로데이 취약성 공격 활용 급증
 
◇파일공유, 언론사, 커뮤니티, 연예기획사, 호스팅 업체, K-pop 웹서비스, 부동산 서비스, 포털 등을 통한 적극적인 악성코드 유포
 
◇금주 파악된 MS 제로데이 유포와 연관된 내용은 29종의 악성링크가 총 90여개 이상의 웹 서비스들에서 중계
 
◇최초 악성링크 내에 추가적인 연결 링크들을 갖추고 있는 형태 및 다양한 취약성을 공격하는 하이브리드 형태의 악성링크 구조 확대
 
◇자유자재로 웹서비스 소스코드에 악성링크의 추가 및 삭제, 악성 코드 분석 방해를 위한 기법 강화
 
전 이사는 “사용자 PC에 설치 되는 악성코드들은 항상 백신을 우회해서 설치가 되고 또 계속해서 변형들이 출현하고 있는 상황에서 웹사이트에 방문만 해도 감염이 되는 공격코드들은 창궐하고 있다”며 “사후 대응이 아닌 사전 대응에 중점을 둬야 한다”고 강조했다.

 
또한 “Oracle Java 취약성, Adobe Flash 취약성 , MS의 XML , Midi 및 IE 취약성이 같이 사용 되어 공격 성공 비율을 높이는 경우가 꾸준히 관찰 되고 있다”며 “전체 보안 수준 관리에 노력을 기울일 필요가 있다. 특히 패치가 없는 상태의 MS XML(CVE 2012-1889) 취약성의 경우 반드시 임시 예방책이라도 적용해야 한다”고 권고했다.  
(Fix it: support.microsoft.com/kb/2719615)
 
공격자들은 현재 모두 시스템에서의 백신 프로세스를 중지시키고 국내외 거의 모든 게임에 대한 프로세스를 지속적으로 모니터링 하고 있으며 목적은 게임계정 탈취로 판단되나 언제든 외부 도메인 연결과 업데이트를 통해 다른 형태로 전환이 될 수 있는 상황이라고 경고하고 있다.  

 
또 6월 2주차 보고서에 언급 되었던 백신 업데이트 방해를 위한 Host 파일 변조 코드가 유포 되었으며, 이 내용의 경우 신규 제로데이를 이용한 악성코드를 탐지하고 대응하려는 백신의 역할에 대해 제한을 두고 목적을 달성 하기 위한 것으로 보고 있다.
 
빛스캔 측은 “현재 패치가 없는 상태에서의 대응책은 웹 서핑 금지라고 해야 할 정도로 심각하다”며 “MS의 XML 서비스 공격이 대규모로 확산되고 사용자 PC에 영향을 직접적으로 미치고 있다는 것을 인지하지 못하고 있는 상태라 대응도 느린 것 같아 당분간 패치 발표 이전까지는 빛스캔에서 상당 수준의 정보를 오픈해 대응 및 후속 대책 마련을 촉구하도록 하겠다”고 밝혔다.
 
한편 빛스캔 정식 보고서에는 공격자가 권한을 통제하고 있는 IP대역들을 공개하고 있다. 해당 IP 대역들은 공격자들이 계속 공격에 재활용하고 있는 것들이다. 기업 및 기관에서는 해당 IP 대역 차단 이후 차단 수치에 대해서 살펴 보면 현재 상태의 위험이 얼마나 되는지 실감할 수 있을 것이다.
 
문일준 대표는 “기술 분석 보고서에는 별도의 차단 IP대역들이 존재하니 참고하고 사안별로 모니터링 및 차단에 적극 활용하길 바란다”며 “빛스캔이 공개하는 차단 IP대역들은 악성코드가 PC에 감염된 이후에 외부로 연결 시도를 하고 명령을 받는 주소들이다. 즉 C&C 연결을 시도하는 봇넷과 같은 개념으로 볼 수 있다. C&C 서버의 차단과 관련된 핵심적인 내용”이라고 덧붙였다.
 
현재 공격자들도 전략적인 움직임을 보이고 있어 공개적으로 IP 대역을 알리는 부분은 보고서 구독 고객에게만 한정해 제공될 예정이다.  
 
KAIST CSRC 주간보안동향 보고서는 1페이지 짜리 요약형태로 작성이 되며 무료 배포가 가능하다. 해당 서비스의 신청은 csyong95@kaist.ac.kr로 신청하면 된다.
 
정식 구독 서비스 가입 및 시범 서비스 신청은 info@bitscan.co.kr이며 기관명, 담당자, 연락처 기재가 필요하다. 시범은 기관, 기업별 1회에 한정한다.
 
보고서 분석은 악성링크 자체의 수집은 빛스캔의 PCDS(Pre crime detect system)를 통해 수집하며, 악성링크 및 악성코드 분석은 KAIST 사이버보안연구센터, 정보보호대학원과 공동으로 진행하고 있다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com
 
■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★