2019-11-14 23:57 (목)
RSA 시큐어 ID 해킹에 사용된 공격코드는 이것!
상태바
RSA 시큐어 ID 해킹에 사용된 공격코드는 이것!
  • 길민권
  • 승인 2011.08.28 04:55
이 기사를 공유합니다

채용관련 이메일 보낸 후, 어도비 제로데이 악성코드 유포
지난 3월 EMC RSA 시큐어 ID 정보가 탈취당하는 해킹사고가 발생했다. 그로인해 국내 많은 금융기관에서 고객 인증 수단으로 사용하고 있는 OTP 시스템에 대한 재점검 및 RSA OTP 토큰에 대한 대응 방안을 만들기 위해 한 차례 큰 혼란이 빚어진 바 있다.
 
26일, F-Secure 웹사이트(www.f-secure.com)에서는 RSA를 해킹할 때 사용됐던 파일이 어떤 것이었는지 공개해 관심을 끌고 있다. 당시 RSA를 해킹한 사이버 범죄자들은 RSA 직원들을 대상으로 이메일 공격을 시도했다. 그들은 직원들이 메일을 열어 그 안에 백도어가 심겨진 파일을 열어보도록 유도했다.
 
해당 백도어는 RSA 시큐어 ID 정보에 액세스 할 수 있도록 했으며 범죄자들은 이 정보를 이용해 미국 군수업체인 록히드-마틴(Lockheed-Martin)사와 노스롬-그롬먼(Northrop-Grumman)사를 해킹하는데 사용한 것이다. 또 전세계 많은 RSA 고객들이 시큐어 ID 토큰을 교체해야만 했던 일대 사건을 일으킨 주범이었다.
 
F-Secure 사이트에 따르면, 범죄자들이 일종의 APT 공격으로 RSA 직원에게 보낸 이메일에는 ‘2011 Recruitment plan.xls’이라는 엑셀파일이 첨부돼 있었다. 채용과 관련된 메일 내용이기 때문에 관심있는 RSA 직원들은 파일을 클릭해서 열어보았고 파일에 숨겨진 악의적 백도어가 내부 PC에 침투하게 된 것이다. 사용된 백도어는 ‘Poison Ivy backdoor’로 드러났다.
 
그들은 ‘2011 Recruitment plan’이라는 제목으로 메일을 발송했고 메일 내용안에는 "I forward this file to you for review. Please open and view it".라며 직원들이 열어보도록 유도했다.


 
첨부된 파일을 열면 아래와 같은 엑셀파일이 열린다.


 
현재 유튜브에는 악의적인 이 엑셀 파일을 열면 어떤 현상들이 발생하는지 생생하게 보여주는 영상이 올라와 있는 상태다.
 
범죄자들은 엑셀 파일에 어도비 플래쉬 플레이어의 제로 데이 취약점(CVE-2011-0609)을 악용해 공격한 것이다. 이러한 공격으로 공격자들은 감염된 RSA 내부 단말기들을 원격에서 액세스할 수 있었고 결국 그들이 원했던 시큐어 ID 정보를 획득할 수 있었다.
 
단순한 이메일 공격이었지만 제로데이 공격이었기 때문에 RSA에서 아무리 시스템 패치를 했다 하더라도 보호하기 힘든 상황이었다고 전하고 있다.
 
F-Secure 측은 이번 공격의 특성에 대해 “이메일이나 백도어가 최신 기법이 아니었음에도 불구하고 제로데이 공격이었기 때문에 당한 것이다. 또 이번 공격자들이 최종 타깃을 해킹하기 위해 타깃이 사용하고 있는 보안 벤더사를 먼저 해킹했다는 점이 특이한 점”이라고 밝혔다.
[데일리시큐=길민권 기자]