MS XML Core Service취약성(CVE-2012-1889) 공격이 다시 활개를 치고 있다. 패치발표 이후 주춤했던 이용율이 3주차 빛스캔(대표 문일준)조사결과 대부분 모든 악성링크에서 CVE-2012-1889를 포함한 공격이 이루어지고 있는 것으로 조사된 것이다.
 
문일준 빛스캔 대표는 “사용자들이 패치를 하지 않아 공격자들이 여전히 악성코드 유포에 악용하고 있는 상황”이라며 “사용자들은 MS 패치를 반드시 해야 하며 기업 및 기관에서는 패치 권고를 즉시 해야 할 것”이라고 경고했다.

 
또한 7월 2주차부터 등장한 오라클 자바 취약점 CVE-2012-1723을 이용한 공격이 7월 3주차에 들어 빈번하게 관찰되고 있다. "Oracle Java Applet Field Bytecode Verifier Cache Remote Code Execution" 으로 알려진 이 취약점은 의도적인 Type Confusion을 유발해 권한이 상승된 상태에서 신뢰되지 않은 코드가 실행되도록 해 악성코드를 다운로드 및 실행시키고 있다.
(보안 패치: www.oracle.com/technetwork/topics/security/)
 
전상훈 빛스캔 기술이사는 “전체 악성링크의 개수가 지난 7월 2주에 비해 감소했지만 CVE-2012-1723 취약점 이용 링크의 개수는 6배 이상 늘어났음을 알 수 있다”며 “전체 공격 취약성 비율에서 Java 관련된(2012-0754, 2011-3544) 공격은 100% 포함되어 있는 것으로 관찰 되고 있다. Java의 취약점을 가장 많이 이용하고 있다는 것은 그만큼 공격성공률이 높다는 것이므로 Java 취약성 관련 최신 패치를 반드시 적용해야 한다”고 조언했다.
 
또 전 이사는 ”지난주 대비 악성링크는 감소했으며 MS 패치로 인한 공격성공률의 감소로 인해 유포범위를 넓히기 위해 20여개의 사이트에 동일한 악성링크가 들어간  MalwareNet이 다시 활성화 되었다”며 “메타블로그 사이트에서도 악성코드를 유포했기 때문에  많은 블로그 사용자들이 악성코드에 감염 되었을 것으로 추정된다”고 밝혔다.
 
더불어 그는 “모든 악성링크들은 초기에 사용자 브라우저 종류 및 버전을 체크하고 그에 맞는 공격 부분으로 분기한다”고 밝히고 “공격성공률을 확인하기 위한 통계 정보 수집은 항상 존재하며, 각 IE, Java, Flash 부분에 대한 권한 획득 부분으로 분기해 그에 맞는 공격코드들을 실행시키고 있다. 그 이후 PC의 권한을 획득하고 최종 악성코드들을 다운로드시켜 PC를 좀비PC로 만들어 가고 있다”고 설명했다.  
 
빛스캔과 KAIST 사이버보안연구센터(주대준 부총장)에서 공동 운영하는 보안정보 제공 서비스 7월 3주차 국내 인터넷 환경의 위협 분석 보고서 내용에 따르면 이번주 공격의 특징은 다음과 같다.
 
-MalwareNet의 재활성화(5~20개 규모의 신규 Malwarenet 출현)
-빛스캔 PCDS(Pre Crime Detect System)를 인지해 통계사이트만 넣어 전략적인 흐름을 관찰중(10여개 사이트)
-P2P 및 언론 매체를 통한 악성코드 유포뿐만 아니라, 호스팅업체, 거래 사이트, 온라인 쇼핑몰, 메타 블로그, ebook 등 다양한 사이트들을 활용한 악성코드 유포가 이루어지고 있다. 특히 메타 블로그 사이트 같은 경우 블로그의 글들을 모아서 보여주는 사이트에서 악성코드를 유포하여 이번주말에 많은 감염자가 발생됐을 것이라 예상
-최초 악성링크 내에 추가적인 연결 링크들을 갖추고 있는 형태 및 다양한 취약성을 공격하는 하이브리드 형태의 악성링크 공격 계속
-다운로더 및 백도어 형태의 악성코드 유포 증가
-게임 계정 이외에 문화상품권 및 게임머니 거래 사이트에 대한 계정 탈취 시도가 최초 발견
-대부분의 게임 계정 탈취 및 백신 서비스 killing은 계속 되었으며, 계정 탈취는 BHO를 이용한 유형이 가장 많이 발견
 
이번주 공격에 사용되었던 MalwareNet의 악성링크는 전자 카탈로그 솔루션 전문업체인 eyecatalog이며, 메타블로그 사이트를 포함해 20여 개 사이트에서 동시에 악성코드 유포에 활용된 것으로 드러났다. 악성링크로 이용된 경로는 xxxxxxx.co.kr/catalog/xxx.js이다.
 
사용자 PC에 설치되는 악성코드들은 항상 백신을 우회해서 설치가 되고 또 계속해서 변형들이 출현하고 있는 현 상황에서 웹 서핑만 해도, 웹 서비스에 방문만 해도 감염이 되는 공격코드들은 창궐하고 있는 상황이다.
 
전상훈 이사는 “현재 모든 솔루션들은 사후 대응에 중점을 두고 있는데, 가장 중요한 것은 사전에 대응이 되는 것이냐가 핵심이다. 또한 발생 가능한 위험을 얼마나 컨트롤 할 수 있는지가 핵심이다”라며 “이번 XML 사안에서 보듯이 3주 가량 무방비 상태에서 노출이 되었으며 단 3주 만에 공격자들은 해당 취약성을 대거 이용하는 형태를 보일 정도로 빠른 적응력을 보이고 있다. 또한 현재에도 계속 취약점이 사용된다는 것은 사용자들이 패치 업데이트를 하지 않고 있다는 것”이라고 설명했다.
 
또 기업 보안담당자에게도 “Oracle Java 취약성, Adobe Flash 취약성 , MS의 XML , Midi 및 IE 취약성이 같이 사용 되어 공격 성공 비율을 높이는 경우가 꾸준히 관찰 되고 있으므로 전체 보안 수준 관리에 노력을 기울일 필요가 있다”며 “특히 패치가 발표된 MS XML (CVE 2012-1889) 취약성의 경우 업데이트를 하지 않은 기업과 개인은 반드시 업데이트해야 한다”고 조언했다.
 
빛스캔 기술분석 보고서에 기술된 루트킷 및 키로거, 백도어 기능을 가진 악성코드들은 사용자 PC의 드라이버 및 시스템 파일 교체, 윈도즈 서비스 등록 등을 실행하고 내부망 스캔 및 키로깅 그리고 외부에서 명령을 대기하는 행위가 지속 관찰 되고 있어서 위험성이 높다.
 
또한 백도어 기능의 설치 시에는 시스템상의 백신 프로세스 우회 이후에 루트킷 형태를 설치하고 이후 다운로드 받은 모든 악성코드와 실행 주체를 삭제해 정체를 은폐하고 있으므로 사전 대응에 만전을 기해야 한다.
 
한편 기술분석보고서에 언급된 게임계정 유출 악성코드들은 전체 악성코드의 80% 이상이 이용되고 있어서 현재 공격자들이 주력하는 부분이다. 모두 시스템에서의 백신 프로세스를 중지 시키고 국내.외 거의 모든 게임에 대한 프로세스를 지속적으로 모니터링하고 있으며 현재 목적은 게임계정 탈취로 보여지고 있으나 언제든 외부 도메인 연결과 업데이트를 통해 다른 형태로 공격전환이 될 수 있다고 한다.
 
특히 인기게임인 Diablo III에 대한 공격이 추가된 게임 계정 모니터링 및 백신 우회 항목, 게임 머니 및 문화상품권 정보 탈취도 계속되고 있어 게임유저들의 보안경각심이 필요한 상황이다.
 
KAIST CSRC 주간보안동향 보고서는 1페이지 짜리의 요약형태로 작성이 되며 무료 배포가 가능하다. 서비스의 신청은 csyong95@kaist.ac.kr로 신청하면 된다.
 
보고서 정식 구독 서비스 가입 및 시범 서비스 신청은 info@bitscan.co.kr로 하면 되고 기관명, 담당자, 연락처를 기재하면 된다. 시범은 기관/기업별 1회에 한정한다.
 
악성링크 자체의 수집은 빛스캔의 PCDS(Pre crime detect system)를 통해 수집하며 악성링크 및 악성코드 분석은 KAIST 사이버보안연구센터, 정보보호대학원과 공동으로 진행하고 있다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com