IE 8 노린 제로데이 공격, 국내서 발생
*기사제공된 원문입니다.
최근 해외에서는 국가 및 공공 기관을 전문적으로 노리는 워터링 홀 공격(표적 공격)이 자주 발생하고 있다. 더욱이 이 공격에서는 제로데이 취약점(보안 취약점이 해결되지 않은 상태에서 공격 코드가 사용되어 실제적인 대응이 불가능한 취약점)을 활용하는 사례가 증가하고 있으며, 대표적인 예가 노동부(Department of Labor)이다.
지난 5월 3일, Internet Explorer 8 버전에서만 동작하는 새로운 제로데이 취약점(CVE-2013-1347)을 활용한 공격이 미 노동부 웹사이트에서 발견되었으며, 이후 추가적으로 8개의 다른 웹사이트에서도 동일한 공격이 있었다는 뉴스를 통해 전방위적인 공격이 있었음을 알 수 있었다. 실제 관련된 보안 패치가 발표된 시점이 5월 15일이었기 때문에, 그 기간 사이에는 보안 업체 및 관련 기관에서 이에 대해 효과적으로 대응할 수 있는 방법이 거의 전무한 상황이었다. 다만, 이러한 사례는 국내가 아닌 해외 사례이기 때문에 국내에는 그리 큰 영행을 미치지 않은 상황이었다.
황금연휴이던 5월 18일 새벽에 YTN 웹사이트에서 IE 8 제로데이(CVE-2013-1347)을 활용하는 드라이브바이다운로드 공격이 진행되었으며, 추가적인 분석을 통해 국내에서 최초로 발생하였음을 공식적으로 확인되었다.
[사진 1. YTN 웹사이트에서 발견된 IE 8 제로데이 공격 링크]
참고로, 드라이브바이다운로드(Drive-by-download) 공격은 사용자가 파일을 다운로드하거나, Active-X 컨트롤을 실행하는 과정 없이, 웹사이트 방문만으로도 악성코드에 감염될 수 있는 공격자로서는 효율이 꽤 좋은 웹 공격 방식이다.
[사진 2. CVE-2013-1347 취약점을 활용하는 실제 코드]
게다가, YTN 웹사이트에서만 발생한 것이 아니라 인벤, 한경닷컴 등 국내에서 사용자의 방문이 많은 사이트에서도 동일한 공격이 확인되었으며, 일부 사이트에 대한 공격은 5월 20일까지 지속적으로 발생했다.
인벤: www.inven.co.kr/common/*/*.js
한경: www.hankyung.com/news/*/*.html
제로데이 취약점을 활용한 공격을 해외와 국내로 나눠서 비교 분석하면 다음과 같다.
1. 대상: 해외에서는 특정한 사용자를 대상으로 하는 공격인 반면에, 국내에서는 방문자 수가 많은 일반적인 웹사이트를 대상으로 한 공격으로 목적이 전혀 다르다고 추정할 수 있다. 국내에서는 대부분 게임 사용자를 노린 공격이 다수를 차지하였다.
2. 출현 시기: 해외에서는 제로데이 취약점과 관련된 보안패치가 나오기 훨씬 이 전에 발생하였다. 앞에서 언급한 바와 같이 특정한 사용자를 대상으로 한 공격으로 꽤 높은 공격성공율을 보였을 가능성이 높다. 국내에서는 보안 패치가 발표된 이후에 공격이 출현하였기 때문에 공격 성공률은 높지 않았을 가능성이 많지만, 오히려 방문자 수가 상대적으로 많기 때문에 실제적인 공격이 성공한 사례를 훨씬 많았을 것으로 추정된다.
다행이도 5월 15일에 발표된 MS 월간 보안 업데이트에서 이 제로데이 취약점에 대한 보안 패치가 발표된 이후이기 때문에 보안 패치를 한 사용자들은 별 문제가 없었을 수도 있다. 하지만, 실제적으로 보안 패치를 충실히 하지 않은 경우, PC 방과 같이 이미지 복구 방식을 통해 사용하는 PC 등에서는 여전히 보안 취약점이 남아 있을 가능성이 높으므로, Windows Update 등을 이용하여 최신 보안 업데이트를 적용해야 한다.
최근에 제로데이 공격은 지난해 말 IE 제로데이(CVE-2012-4792), 올해 초 JAVA 제로데이(CVE-2013-0422), 그리고 지난 5월 18일 IE 제로데이(CVE-2013-1347)까지 모두 3번 발생했다. 대부분의 제로데이 공격은 패치가 없는 경우가 많으며, 실제 다운로드되어 감염되는 악성코드 또한 기존 보안 솔루션인 백신(안티바이러스)에서 진단되지 않도록 우회하는 경우가 대부분으로, 실제 이러한 문제점을 해결하기 위해서는 공격이 처음 유포되는 웹사이트에 대한 모니터링 강화, 그리고 발생시 빠른 대응이 필수적이라고 할 수 있다.
참고로, 당사가 탐지 및 분석한 악성코드 유포지 DB를 활용하는 큐브디펜스 장비의 경우 탐지 직후 20분 이내에 차단할 수 있도록 동작하며, 로그를 분석한 결과 동일한 공격 확인 및 차단 여부를 확인할 수 있었다.
참고자료
MS 자료: MS13-038 (http://technet.microsoft.com/ko-kr/security/advisory/2847140)
'Security Indicator > Insight' 카테고리의 다른 글
| 6.25 사이버 공격에 대한 다른 시각과 분석 (0) | 2013.07.02 |
|---|---|
| S.Korea millitary service Targeted attack without IE 8 zeroday ,Finally fireeye analysis is wrong. (0) | 2013.05.24 |
| 안보 관련 연구소 대상 표적공격 (워터링 홀) 5월16일 발생- 기사원문 (0) | 2013.05.22 |
| 3.20 대란 초기 경고 및 추적, 대응 히스토리 (요약) - 빛스캔 (0) | 2013.04.02 |
| 3.20 이후? 이전? . 근본이 바뀌지 않으면 끝까지 계속된다. (0) | 2013.04.01 |
