KAIST정보보호대학원 사이버보안연구센터(주대준 부총장)에서 XML CoreServices 취약점(CVE-2012-1889)에 대한 상세분석 보고서를 공개했다. 해당 문서는 카이스트 사이버보안연구센터(csrc.kaist.ac.kr) 게시판-공지사항란에서 국문과 영문 상세 보고서를 다운로드 할 수 있다.  
 
이번 상세보고서에서 XML CoreServices(CVE-2012-1889) 취약점에 대한 악성링크의 활용도를 보면 공격자들이 얼마나 효율적으로 공격에 이용하는 지를 알 수 있다. 더불어 메타스플로잇(Metasploit)에 나온 사용 법들은 개별 PC나 서비스를 대상으로 공격하는 모델이지만 전문분석에 분석된 내용들은 웹소스에 추가되어 전문적으로 모든 웹 방문자를 대상으로 해 공격이 일어난 공격 모델을 자세히 보여주고 있다는 것이 특징이다.  
 
즉 개별 공격기법에 대한 분석들은 여러 기관에서 공개된바 있지만 대량 감염을 위해 이용된 모델에 대한 분석은 최초로 공개된 것에 보고서의 의미가 있다.  
 
KAIST 사이버보안연구센터와 공동으로 연구를 진행하고 있는 빛스캔(대표 문일준) 전상훈 기술이사는 “공격기법상으로 보면 일단 정상적인 웹서비스 침입을 하고 모 신문사처럼 메인 페이지도 바꿀 수 있지만 공격자들은 그렇게 하지 않는다. 정보는 이미 다 가져갔고 이제는 악성코드를 감염시키는 숙주로 활용을 할 뿐”이라며 “웹서비스에 침입하고 내부의 웹소스코드를 변경한다. 여기에 악성링크들의 주소를 넣는다”고 설명했다.
 
또 “단지 소스코드에 암호같은 코드를 한 줄 추가 함으로써 홈페이지 방문자들은 악성코드의 직접적인 공격을 모두 받게 된다. 그 대상은 예외가 없다. Flash 사용자, Java 설치, IE 취약성 등등. 거기에 이제 패치가 없었던 MS XML 서비스에 대한 공격도 직접 발생된 것”이라며 “단지 홈페이지에 접속만 했을 뿐인데도 악성링크들은 클릭이나 다른 어떤 사용자의 행동 없이 실행이 되게 되고 사용자 PC를 좀비PC로 만든다”고 설명했다.
 
한편 KAIST 사이버보안연구센터 관계자는 “왜 이런 전문분석을 공개하고 위험성에 대해서 공개적으로 알리는 이유는 현재의 위험을 직접적으로 알리고 얼마나 위험한 상황에 우리가 처해 있는지를 알리기 위한 것”이라며 “향후에도 패치가 없는 공격은 계속 될 것이다. 다음에도 패치가 없는 제로데이 공격이 웹서비스를 통해서 유포된다면 더 심각한 상황이 될 수 있다. 이를 알리고자 조금 더 상세한 설명과 보안정보제공 서비스 구독 고객에게만 제공되는 전문분석을 공개하기로 한 것이다. 대응에 참고하길 바란다”고 밝혔다.
 
<KAIST CSRC 보안분석보고서 다운로드>
-csrc.kaist.ac.kr/2011/sub04/sub04_02.php
 
데일리시큐 길민권 기자 mkgil@dailysecu.com