세계적으로 유례가 없는 제로데이들의 공습. 한국에 진행 중

세계적으로 유례가 없는 제로데이들의 공습. 한국에 진행 중

 

" 파일 공유, 커뮤니티, 패션, 십여 곳 이상의 언론사 관련 서비스, 동영상 공유 사이트와 같은 방문자가 대규모인 서비스를 대상으로 악성링크가 추가 되어 모든 방문자를 대상으로 집중적인 자바 제로데이 및 IE 제로데이가 포함된 공격이 1월 11일 이후 계속 발생 되고 있으며, 심각한 상황에 처해 있다. 최종 감염된 악성코드는 사용자 개인정보 탈취 및 금융기관 피싱에 집중 운용 되고 있는 상황으로 다방면으로 긴급한 대응이 요구된다."

 

2013년 1월 11일 주말을 기해 국내 인터넷 환경에서는 지금까지 유례 없던 현상이 출현 하였다. 일반적으로 패치가 발표 되기 이전의 공격코드를 제로데이 공격이라고 칭한다. 공격코드를 대응할 방법이 없다는 점에서 모든 방패를 무력하게 만드는 절대적인 공격 기법이라고도 할 수 있다.

 

취약성을 보완하는 것을 패치라고 하며 일반적으로 운영체제 및 Application의 업데이트를 통해 새로운 버전으로 갱신을 하게 된다. 2000년 이후 지금까지 2003년 1.25 대란을 겪으며 발표된 패치의 중요성에 대해서 높은 주의를 가지게 되었으며, 이후에도 패치만 꾸준히 할 경우 대규모 피해는 발생하지 않는다는 것이 정석 이였다. 그러나 모든 웹서비스 방문자를 대상으로 공격을 하고 좀비 PC를 확산 시키는 공격자의 전략은 유독 한국에서 극심한 상황이며, 방문자 PC를 공격하는 공격기법에 제로데이들이 직접 활용 되고 있는 것이 관찰 되고 있다.

 

지금 시점에서 국내에 대한 제로데이가 하나도 아니며, 두 개가 대량 감염에 적극 이용 되고 있는 상황이 계속 되고 있다. 8억 5천만개 이상의 디바이스에 설치되어 운영되고 있는 Java에 대한 제로데이 공격이 그 하나이며, 국내 인터넷 상거래 환경의 상당수를 차지하고 현재도 사용중인 IE 6,7,8 버전에 대한 제로데이 공격이 또 다른 하나이다. 그 시작은 1월 11일부터 이다. IE 제로데이인 CVE 2012-4792 취약성과 Java 제로데이인 CVE 2013-0422 공격이 국내를 대상으로 대규모 공격한 정황은 PCDS (Pre Crime Detect System – 빛스캔)를 통해 확인이 되었으며 현재 전문분석이 진행중인 상황이다.

 

< 빛스캔의 PCDS를 통해 탐지된 IE, Java 제로데이 탐지 현황과 현실>

 

단 하나의 제로데이가 발생 하여도 파급력과 위험성은 높은데, 하나도 아닌 두 개의 제로데이가 직접 이용되고 모든 웹서비스 방문자를 대상으로 대량 감염을 시키는 상황은 절망적인 상황이라 할 수 있을 것이다. 지금의 상황에 대한 메시지는 극도로 위험함이라 규정 할 수 있다.

 

최근 국내에서는 금융관련된 피싱 및 소액결제 사기등이 급증하는 현상이 지난해 하반기부터 계속 되고 있다. 그 피해의 이면에는 사용자 PC의 권한을 획득한 악성코드의 역할이 절대적이라 할 수 있다. 어떻게 이 악성코드들은 설치가 되었는가?

 

현재 상황

 

IE 관련 제로데이의 경우 이미 1월 초부터 국내 인터넷을 대상으로 하여 테스트를 하는 정황이 포착 되었고, 시험이 완료 되었을 것으로 추정한 바 있다. 1월 11일을 기해 자바 제로데이와 동시에 공격에 사용된 정황은 충격적이다. 자바 제로데이의 경우는 테스트 없이 바로 대량 감염에 직접 이용되는 상황이 관찰 되었다. 현재 시점에도 공격은 진행 중이다.

< IE 제로데이 및 Java 제로데이 발견과 직접 활용에 관한 히스토리 >

 

지금 한국의 인터넷 상황은 기존의 취약성들에 대한 공격만으로도 60% 가량의 감염 성공률을 보이고 있는 상황에서 ( 악성링크가 자동 실행 되는 주요 웹서비스 방문자중 60% 가량의 감염 성공) , 제로데이들을 직접 활용함으로써 감염 성공률은 거의 90% 이상에 육박할 것으로 예상된다. 예를 들어 동영상을 보거나 파일을 다운로드 받는 곳, 브라우저로 뉴스를 보는 언론사이트 방문자의 10명중 9명은 현재 제로데이의 공격에 직접 노출 되어 있는 상황이 지금이다.

 

이에 빛스캔에서는 1. 11일을 기해 국내 인터넷 환경에 대해 위험성 수준을 매우 위험으로 상향하여 대응을 하고 있다. 일각에서는 아직 제로데이에 대한 공격이 해외에서나 발생 되는 일로 인지하고 있는 것은 매우 개탄스러운 현상으로서 현재 국내의 위험 상황을 제대로 파악하지 못하고 있는 것으로 여겨진다. 이미 두 개의 태풍은 한반도 상공에서 장기체류를 예정하고 있다.

 

설치된 최종 악성파일의 경우에도 1월 11일 최초 유포가 발생 되었음에도 불구하고 시일이 지난 이후에도 여전히 미보고된 악성코드 이거나 일부 백신만 탐지하는 형태를 확인 할 수 있다.

 

< 제로데이 공격을 통해 설치된 최종 악성파일 진단 결과 – 미보고 샘플>

< 제로데이 공격 이후 모든 방문자 PC에 설치되는 최종 악성파일 변종 진단 결과 – 일부 탐지>

 

대책:

 

공격기법을 막을 수 있는 대안도 없으며, 최종으로 사용자 PC를 좀비 PC로 변모케 하는 악성파일의 경우에도 백신제품들에서 제대로 탐지가 안 되는 상황은 왜 지금의 상황이 최악이고 위기의 중심에 서 있는지를 단적으로 대변하고 있다. 일부 탐지의 경우에도 최초 악성파일 유포 이후 3일의 시간이 지난 이후 진단된 결과이며, 미보고 샘플은 1월 11일 최초 유포가 시작 되었음에도 불구하고 여전히 보고된 바 없는 악성파일로 나타나고 있다. 무엇으로 막을 수 있을까?

 

 

현재 대책으로서는 IE 0 day 관련하여 긴급하게 MS에서 전례를 찾기 힘든 긴급 대응 패치를 발표한 상황이다. 보안패치는 IE 6,7,8 사용자 모두에게 해당이 된다. 발표 이후에도 공격이 계속 되는 것으로 보아 정확한 대응여부 검증에 대해서는 시일이 필요할 것으로 예상 된다.

http://technet.microsoft.com/en-us/security/bulletin/ms13-008

 

Oracle의 경우도 Java에 대한 패치를 발표 하였으나 현재 패치의 완전성에 대해서는 검증된 바가 없으며 여전히 공격은 계속 진행 중인 상황이다. 특히 국내는 취약한 웹서비스를 이용한 불특정 다수에 대한 대량 공격이 계속 되고 있어서 세계적으로 피해가 가장 심각한 측에 속할 것이다.

http://www.oracle.com/technetwork/topics/security/cpujan2013-1515902.html

 

IE의 경우 패치의 안정성 여부를 떠나 IE 6,7,8 버전에 대한 전체적인 업그레이드가 요구되고 있으며 Java의 경우 현재 패치의 비정기성도 문제가 있고 업데이트 설치 비율도 낮은 수준으로 판단이 되고 있다. 현재 상태에서도 2012년부터 발견된 자바 취약성과 2013년 신규 발견된 제로데이까지 합쳐진 최소 6 종류의 취약성에 대한 공격이 1월 11일 이후 주중에도 계속 발견 되는 상황에 처해 있다. 따라서 IE는 브라우저의 업데이트가 강력히 요구되며, Java는 미 연방정부의 권고안대로 삭제 및 사용금지가 현재로서는 유일한 대안이라 할 수 있을 것이다.

또한 국내의 위험을 적극적으로 알리기 위해 관찰 단계 상향이 필요하며, 제로데이 공격코드 유포와 관련된 웹 서비스들에 대한 강력한 통제 및 재발방지, 근본 원인 제거가 수반 되어야 할 것이다.

 

현재 상태는 인터넷을 활용하는 기업과 기관 모두에게 강력한 주의가 필요하다. 백신에 탐지 되지 않는 악성코드를 APT라 칭한다면 이미 지난 주말에만 수십만 건 이상의 APT들이 사회 각 분야에 침투한 상황이다. 통로를 제어하지 못하면 이 싸움은 필히 패할 수 밖에 없을 것이다.

 

절대적인 위기의 시기임을 잊지 말아야 할 것이다. 뉴스, 쇼핑, 영화, 방송 등등 모든 분야에서 제로데이가 당신의 방문을 기다리고 있다. 문제는 이제 심각한 상황으로 단숨에 진입한 상황이다.

 

우리는 지금의 순간을 지금껏 겪어 보지 못한 위기의 순간이라 느끼고 있다.

- 바다란

 

현재 빛스캔㈜은 국내 120만개의 웹 서비스와 해외 10만 여 개의 웹 서비스를 모니터링하며 악성코드 유포에 이용되는 악성링크를 추적하고 있다. 특히 전세계적으로 공격이 매우 극심한 국내의 상황에서 특화된 기술과 역량을 통해 집중적인 노력을 기울이고 있으며 매주 수요일 한주간의 한국 인터넷 위협현황에 대해 카이스트와 공동으로 정보를 제공 하고 있다. . 또한 국내기업으로는 최초로 해외 정보공유 사이트인 exploit-db 사이트에 KAIST 정보보호대학원과 공동으로 지난해 하반기에만 4종의 취약성 분석 문서를 공개함으로써 세계적인 역량을 인정받고 있다. 정보제공 서비스에 대한 문의는 info@bitscan.co.kr로 하면 된다.