지난 12월 26일 국내에서 처음으로 IE 브라우저 6,7,8 모든 버전에 영향을 미치는 제로데이 공격이 국내에도 직접 발생한 정황이 빛스캔(대표 문일준)의 PCDS를 통해 탐지된바 있다. 이후 1월 5일 경 국내 대형 커뮤니티 사이트인 디씨인사이드 사이트에서 해당 제로데이 공격코드를 이용한 공격이 발생한 것이 포착됐다.

 
IE 제로데이 취약성은 현재 Metasploit에 POC 코드가 공개 되어 있으며 국내를 대상으로 한 공격에는 아직 대규모 공격으로 전이된 정황은 포착 되지 않았다. 그러나 12월 26일 최초 공격 발견 이후 1월 2주차인 1월 5일에 추가 공격이 발생된 것이 빛스캔의 PCDS를 통해 탐지가 됨으로 인해 위험 단계를 벗어날 가능성이 매우 높아진 상황이다. 이번에 대해 패치가 없는 제로데이 공격이 발생된 사이트는 대형 커뮤니티인 디씨인사이드다.
 
빛스캔 측은 “현재 상태는 여전히 공격의 효과를 검증하는 것으로 판단된다”며 “효과 판단을 위해 국내 대형 커뮤니티에 직접 활용하여 효과를 검증하는 단계로 파악된다”고 설명했다.  
 
이 기업 분석에 따르면, 최초 디씨인사이드에 대한 공격은 1월 5일 23시경에 발견 되었으며 IE 0 day를 이용한 공격코드가 직접 활용 되었다. 또한 국내 사이트를 해킹하여 공격코드를 올려둠으로써 탐지 및 의심을 회피하려는 목적이 분명함을 관찰 할 수 있다. 하루 정도 제로데이 효과 관찰 이후에는 다시 1월 6일 오후 5시경에는 기존에 적극적으로 활용하던 Java 공격세트 5개와 MS XML 취약성인 CVE 2012-1889 취약성에 대한 공격 코드로 변경된 것을 관찰 할 수 있었다.
 
빛스캔 관계자는 “지난 주말의 상태로 살펴보건대 적극적으로 공격의 효과를 관찰하고 있는 것으로 보이며 이번 20시간 가량의 감염 관찰을 통해 충분한 데이터를 얻었을 것으로 예상된다. 그 결과에 따라 IE 0 day에 대한 대규모 공격은 곧 시작될 수도 있을 것”이라며 “IE 0day에 대한 최초 발견 보고 이후에 주의 깊은 관찰 수준을 유지하고 있는 상태에서 대형 커뮤니티를 통한 효과 검증과 같은 사례는 곧 이어질 대규모 공격을 예상하게 함으로 위험 단계에서 경고 단계로 레벨을 높이는 것이 타당한 상황”이라고 경고했다.
 
1월 5일 1차 제로데이 악성코드 공격 발견  
◇1차 제로데이 공격코드 구조
Gall.dcinside.com/list.php  (소스코드 내에 onedaynet.co.kr에 기 생성해둔 악성링크 추가)
Open.onedaynet.co.kr/xxxxx/ads.js
Opne.onedaynet.co.kr/xxxxxx/popup.htm
 
사용자에게 자동 감염된 악성코드는 국내 백신 중 일부가 탐지하는 상황이라 공격기법에 대한 인지와는 다르게 일부에서는 악성코드 유포 정황에 대해서 인지가 되었을 것으로 판단된다.
최종 유포된 악성코드는 it.moyiza.com/xxxxx/m.exe 이다. 탐지 결과는 다음과 같다.

 
결론적으로 1월 5일 늦은 밤 디씨인사이드 커뮤니티로부터 시작된 제로데이 공격은 일부 방문자들의 백신에 의해 최종 파일이 탐지되는 상태를 통해 발견되었을 가능성이 높다. 공격기법은 탐지 되지 않으나 최종 악성파일은 탐지되는 상태의 악성파일을 공격자가 사용하였기에 발견이 된 것이고 백신을 우회하는 악성파일을 감염시켰을 경우는 인지가 전혀 될 수 없는 상황이다.
 
1월 5일 늦은 밤에 발생한 1차 제로데이 검증의 결과를 넘어서 1월 6일 오후 5시를 넘어서 변경된 공격 코드들은 기존에 자주 활용 하던 Java 관련된 공격 세트와 MS XML 취약성을 공격하는 코드로 변경이 된 것을 확인 할 수 있었다.

 
2차 변경 시에는 WemakePrice라는 국내 소셜 쇼핑의 광고 코드 내에 악성링크를 추가하는 방식을 사용하여 탐지를 회피한 것을 확인 할 수 있다. 본 광고 또한 디씨인사이드 커뮤니티의 메인에 노출이 되는 광고이며 방문 즉시 실행이 되어 감염 되는 형태라 할 수 있다.

 
1차 제로데이 공격 코드와 2차 기존 공격 유형으로 변경된 공격코드에 의해 디씨인사이드 커뮤니티는 구글의 악성코드 감염 사이트에 등재된 것을 확인 할 수 있다.

 
일반적으로 구글에서 탐지하는 유형은 직접적인 악성코드가 설치 될 때에 탐지되는 유형이며 공격기법에 따른 탐지는 할 수가 없는 상황이다. 즉 1,2차에 걸친 공격에 의해 유포된 최종 악성파일들에 대해 탐지된 비율이 있었고 이벤트가 발생했기에 차단된 것으로 볼 수 있다.
 
빛스캔 측은 “당사 시스템 체계에서 탐지가 되었으나 가장 우려하는 부분은 국내 활용 비율이 매우 높은 IE 6,7,8 버전의 브라우저에 대한 제로데이가 공공연하게 실험이 되고 있으며 이제 대규모 커뮤니티를 통한 실전투입 테스트를 마쳤다는 점”이라며 “그 결과와 효과에 따라 직접적으로 이용이 될 수 있을 것으로 판단된다”고 밝혔다.
 
더불어 “국내의 인터넷 환경은 연말을 기점으로 하여 중요도가 높은 사이트를 가리지 않고 악성코드 감염에 이용 되는 상황에 직면해 있는 지금 시점에서 IE 0 day 공격까지 결합되는 상황은 최악의 상황으로 언제든지 치달을 수 있다고 판단된다”며 “IE 버전 6,7,8을 사용하는 일반 사용자들은 매우 높은 수준의 주의를 기울여야 하며 불가피한 경우를 제외하고는 반드시 업데이트를 해야 할 것”이라고 경고했다.  
 
또 “국내 주요 전자상거래 환경은 IE 6,7,8 버전이 주 대상으로 되어 있어서 현재 시점에서 피해를 예방하기 위해서는 IE 9 이상의 버전으로 업데이트가 강력하게 요구된다”며 “IE 9 이상의 업데이트 이외에 반드시 하위 버전을 사용해야 할 기업이나 기관의 경우는 MS에서 발표된 Fix-it을 긴급하게 적용할 것을 권고한다”고 밝혔다.   
 
현재 빛스캔은 국내 120만개의 웹서비스와 해외 10만 여 개의 웹서비스를 모니터링하며 악성코드 유포에 이용되는 악성링크를 추적하고 있다. 특히 전세계적으로 공격이 매우 극심한 국내의 상황에서 특화된 기술과 역량을 통해 집중적인 노력을 기울이고 있으며 매주 수요일 한주간의 한국 인터넷 위협현황에 대해 카이스트와 공동으로 정보를 제공 하고 있다. 알려지지 않은 위협에 대해 대응을 하고 싶은 기업과 기관은 필요한 내용이다. 문의는 info@bitscan.co.kr로 하면 된다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com