안랩-국가사이버안보센터(NCSC), IE 신규 취약점 활용 공격에 대한 보고서 발표
알려지지 않은 취약점 활용해 악성코드 감염 시도…피해 PC에서 원격 명령
[서울=뉴시스]송혜리 기자 = 인터넷 사용시 뜨는 '팝업 알림'을 악용해 PC를 점령한 뒤 좀비PC로 만드는 북한발 사이버 공격 정황이 포착돼 보안 업계가 각별한 주의를 당부했다.
안랩 ASEC 분석팀과 국가사이버안보센터(NCSC) 합동분석협의체는 마이크로소프트(MS)의 웹 브라우저 '인터넷 익스플로러(IE)'의 새로운 취약점(제로데이)을 발견하고, 해당 취약점을 악용한 공격을 상세 분석한 합동 분석 보고서를 16일 발표했다.
이 보고서에는 지난 5월 안랩과 NCSC가 북한의 해킹조직 TA-RedAnt(별칭: RedEyes, ScarCruft, Group123, APT37) 공격 그룹의 대규모 사이버 공격에 대응하며 발견한 IE 브라우저 내 신규 제로데이 공격과 이를 이용한 공격에 대한 상세 분석 내용을 담았다.
안랩과 NCSC가 발견한 이번 IE취약점 활용 공격은 최근 다양한 무료 소프트웨어에서 함께 설치되는 특정 토스트(Toast) 광고 실행 프로그램을 악용했다. 토스트(Toast)란 PC화면 하단(주로 우측 하단)에서 솟아 오르는 형태로 나타나는 팝업 알림창을 말한다.
이번 사례에서 공격자는 특정 토스트 광고 프로그램이 광고 콘텐츠를 다운로드 할 때 지원이 종료된 취약한 인터넷 익스플로러 모듈을 사용한다는 점을 노렸다. 해커는 먼저 토스트 광고 프로그램이 광고 콘텐츠를 다운(제공)받는 특정 국내 광고 대행사의 서버를 공격해 권한을 획득했다. 이후 해당 서버의 광고 콘텐츠 관련 스크립트에 취약점 코드를 몰래 삽입했다. 이 취약점은 토스트 광고 프로그램이 서버에서 콘텐츠를 다운로드 후 이미지 구현(렌더링) 과정에서 발현된다.
토스트 광고 프로그램이 설치된 PC는 악성코드에 감염될 수 있다. 공격자는 악성코드에 감염된 PC에 원격 명령을 내려 정보를 빼내거나 다른 시스템을 공격하는데 PC자원을 이용했다.
양 기관은 해당 취약점을 즉시 마이크로소프트에 신고했다. 마이크로소프트는 지난 8월 13일(미국 현지 시각 기준) 정기 패치에서 해당 취약점에 대해 공식 CVE 코드를 발급하고 관련 패치도 완료했다.
마이크로소프트는 지난 2022년 6월 IE 기술 지원을 종료했지만, 이번 사례와 같이 여전히 IE 모듈을 사용하고 있는 일부 윈도 어플리케이션을 노린 공격이 꾸준히 발견되고 있어 조직 및 사용자의 각별한 주의와 보안 패치 업데이트가 필요하다.
피해 예방을 위해 사용자는 운영체제 및 소프트웨어 등의 보안 패치 업데이트를 수시로 진행해야 한다. 또 소프트웨어 제조사에서는 제품 개발 시 보안에 취약한 개발 라이브러리·모듈 등이 사용되지 않도록 주의해야 한다.
이번 취약점을 발견 및 분석한 안랩 ASEC 분석팀 김준석 선임연구원은 "이번 사례는 토스트 광고 프로그램을 악용해 공격을 시도한 것이 특징으로, 해당 프로그램이 취약한 인터넷 익스플로러 모듈을 사용한다는 점을 노려 대규모 피해가 발생할 수 있었다"고 말했다.
이어 안랩 ASEC 분석팀 송태현 선임 연구원은 "최근 다양한 취약점을 악용한 공격이 증가하는 추세로, 피해 예방을 위해 사용자들은 운영체제 및 소프트웨어 등의 보안 업데이트를 정기적으로 진행하는 등 기본 보안수칙 준수가 매우 중요하다"고 말했다.
◎공감언론 뉴시스 [email protected]