패치되지 않은 자바에서 이전에 알려지지 않았던 취약점을 이용한 익스플로잇이 발견되었다. 보안 전문가들에 따르면 해당 익스플로잇은 악성코드 감염과 같은 사이버 범죄에 사용되고 있다.
 
‘Kafeine‘이라는 닉네임을 쓰는 한 악성코드 전문가가 지난 화요일 자신의 블로그에 해당 익스플로잇에 관해 개제했다.
 
공격자들은 드라이브 바이 다운로드 공격(drive-by download attack)이 가능한 웹사이트에 접속하는 사용자의 컴퓨터에 악성코드를 설치하는 데 해당 익스플로잇을 사용하고 있는 것으로 밝혀졌다.
 
그는 보안 회사에 한해서 해당 익스플로잇의 샘플을 공유하고 있으며, 이 익스플로잇은 무차별적인 피해를 발생시킬 수 있다고 밝혔다.
 
바이러스 백신 공급업체인 비트디펜더(BitDefender)의 선임연구원 Bogdan Botezatu는 “우리는 이것이 새로운 취약점이라고 확신한다.” 라면서, “우리는 자바 1.7 업데이트 9와 10에서 해당 익스플로잇의 메커니즘을 적용시킬 수 있었다. 이전 버전에서도 취약점이 될 수 있다. 현재 우리는 이전 버전들에서도 익스플로잇이 적용될 수 있는지 확인중이다.” 라고 전했다.
 
보안회사 에일리언볼트(AlienVault)의 연구원들 또한 전체 패치가 적용된 자바7에서 해당 익스플로잇이 동작하는 것을 확인했다. 해당 익스플로잇은 지난 2011년 8월경 사이버 범죄에 사용된 자바 취약점 공격에 사용되었던 자바 보안제안 우회와 유사한 트릭을 사용한다고 밝혔다.
 
이 익스플로잇은 이미 크래커들이 사용하는 블랙홀 익스플로잇 툴킷(Blackhole Exploit Toolkit)에 추가되었으며, 블랙홀 익스플로잇 툴킷에서 파생된 쿨 익스플로잇 툴킷(Cool Exploit Kit)에도 추가되었다. Botezatu는 “보고에 따르면 해당 익스플로잇이 또다른 공격용 툴킷인 레드킷(Redkit)으로도 만들어 진 것으로 밝혀졌다. 하지만 우리가 이런 정보들을 즉각적으로 확인할 수는 없다.” 라고 밝혔다.
 
또한 비트디펜더 연구원들은 “새로운 자바 익스플로잇과 관련한 트래픽의 패킷을 캡쳐하여 분석해본 결과, 지난 1월 7일에 발생한 몇몇 공격들을 역추적할 수 있었다”면서, “이 공격들은 7일보다 이전인 2일 혹은 3일에 시작했을 것“이라고 전했다.
 
에일리언볼트 랩의 매니저인 Jamie Blasco 또한 “쿨 익스플로잇 툴킷과 블랙홀 익스플로잇 툴킷에서 해당 익스플로잇의 샘플을 본 적이 있는데, 뉴클리어 팩(Nuclear Pack)과 레드킷에도 이미 포함된 것 같다”라고 말했다. Blasco는 이 익스플로잇이 유명한 오픈소스인 메타스플로잇(Metasploit) 침투 테스팅 툴에도 곧 추가될 것이라고 전망했다.
 
자바 취약점을 전문으로 연구하는 폴란드의 보안회사 시큐리티 익스플로레이션(Security Explorations)의 설립자 Adam Gowdiak은 “보안적 조치가 취해지지 않은 컴퓨터에서의 제로데이 공격코드는 또 다른 자바 보안 취약점이 되어 Reflection API를 안전하지 못한 구현을 차단하지 못할 수 있다"고 전했다.
 
그는 이 새로운 이슈가 두가지 취약점을 결합하고 있다고 말했다. 그 중 하나는 지난 해 8월 31일 시큐리티 익스플로레이션이 오라클에게 보고했던 다른 취약점과 관련되어있다. 해당 문제점을 보완하기 위해 10월에 실시했던 패치를 우회하기 위해 공격자들이 새로운 Reflection API를 남용한다는 것이다.
 
지난 8월에 발견된 취약점과 관련하여 시큐리티 익스플로레이션이 9월에 추가적으로 개념 증명 코드를 첨부해 오라클에게 보고했었다. 전과 마찬가지로 이번 취약점 또한 보고를 했으며 오라클은 이번 공격에 사용된 익스플로잇 벡터를 알고 있다.
 
하지만 오라클은 아직 해당 취약점을 인정하거나 패치 일정에 대해 따로 언급하지는 않고 있다. 오라클의 PR부서 대표는 “자바와 관련한 주요 패치 업데이트(critical patch update, CPU)가 2월 19일에 잡혀있을 뿐, 현재 해당 취약점과 관련해서는 아직 언급할 수 있는 사안이 없다”고 밝혔다.
 
지난 8월에 발견되었던 취약점 또한 이번과 유사하게 패치 되지 않은 자바에 대한 문제였다. 그 때 오라클은 해당 문제 해결을 위해 분기별로 실시하던 패치 주기를 깨고 해당 취약점과 관련한 긴급 패치 업데이트를 배포했었다.
 
Botezatu는 오라클이 철저한 피해범위 조사와 더불어 품질 보장을 할 수 있는 패치가 준비되지 않는 한 지난번과 같은 분기 외 패치 배포는 하지 않을 것이라고 예측했다. 그는 “지난번의 긴급 패치는 패치 전에 취약하지 않았던 부분들이 유사한 익스플로잇을 적용시킬 수 있는 또 다른 취약점이 되는 결과를 낳았다”면서, “그렇기 때문에 오라클은 해당 취약점과 관련한 패치가 미뤄지더라도 보다 철저한 취약점 분석을 통한 패치 업데이트를 배포하려고 할 것” 이라고 말했다.
 
Botezatu는 사용중인 브라우저의 자바 플러그인을 비활성화 하고 해당 취약점과 관련한 패치가 배포되기 전 까지 비활성화 상태를 유지해야 한다고 말했다. 또한 특정 웹 사이트를 브라우징하기 위해 자바 플러그인이 필요할 경우에는 반드시 해당 웹사이트를 실행하기 위한 최소한의 플러그인만을 허용하는 것을 당부했다.
 
지난 12월 11일에 배포되어 현재까지 가장 최근 버전인 자바7 업데이트 10(7u10)는 사용자가 자바 컨텐츠들을 컨트롤 할 수 있는 더 나은 방법들을 제공한다. 또한 해당 버전은 자바 제어판의 옵션을 통해 브라우저에서 자바와 관련한 모든 컨텐츠를 비활성화 할 수 있다.
 
<참고사이트>
-www.computerworld.com/s/article/9235550/Attackers
 
About 강정진 객원기자


숙명여자대학교 정보보안동아리 SISS에서 2010년부터 활동. 2011~2012년 부회장으로 활동. 보안분야 관심사는 전반적으로 관심을 두고 있지만 특히 리버싱, 데이터분석에 관심이 있고, 최근에는 하드웨어나 임베디드 시스템에 관심이 있다. 연구내용은 악성코드, 리버싱, 데이터분석 분야. 장래 희망은 악성코드 분석가, 혹은 사이버테러대응센터에서 일하고 싶다.
 
[데일리시큐 강정진 객원기자 joonyoul.jk@gmail.com]