[칼럼]강력한 제로데이 공습, 한국을 강타하다

전상훈

세계적으로 유례가 없는 제로데이들의 공습, 한국을 강타하다.

일반적으로 패치가 발표 되기 이전의 공격코드를 제로데이 공격이라고 칭한다. 공격코드를 대응할 방법이 없다는 점에서 모든 방패를 무력하게 만드는 절대적인 공격 기법이라고도 할 수 있다.

취약성을 보완하는 것을 패치라고 하며 일반적으로 운영체제 및 애플리케이션 업데이트를 통해 새로운 버전으로 갱신을 하게 된다. 2000년 이후 지금까지 2003년 1.25 대란을 겪으며 발표된 패치의 중요성에 대해서 높은 주의를 가지게 됐으며, 이후에도 패치만 꾸준히 할 경우 대규모 피해는 발생하지 않는다는 것이 정석이었다.

제로데이 공격들은 일반적으로 국가간의 첩보나 사이버전, 기밀탈취에 은밀하게 쓰이는 용도로 일반에게 알려져 있으며, 국가와 기업의 중요기밀 탈취를 위해 이메일 등을 통해 공격 하는 방식으로 이해를 하는 것이 일반적이다. 그러나 지금의 상황은 극도로 달라진 상황을 보이고 있으며, 매우 치명적인 결과를 초래하고 있다.

일반적으로 웹서비스를 해킹 할 때에는 내부로 침입을 하기 위한 통로로서 공격을 하거나 정치적 의견을 알리기 위한 핵티비스트 경향을 띄는 것이 일반적이다. 단순히 중간거점으로 활용하거나 페이지 화면을 변조함으로써 의사를 전달 하는 용도로 이용된 것이 지금까지 대부분이 알고 있는 해킹의 유형이라 할 수 있다.

그러나 2000년대 중반 이후부터 공격자들은 또 다른 하나의 수단으로서 직접 활용을 하고 있다. 그 활용은 웹서비스의 소스를 수정함으로써 모든 방문자들을 대상으로 좀비 PC로 만들 수 있는 공격이 가능하다는 것을 인지하고 실행을 하게 된다. 2012년을 거쳐, 2013년이 된 지금은 대규모 공격 네트워크를 직접 활용하는 수준에까지 도달한 상황이다. 여기에 공격자가 권한을 가지고 변경한 웹서비스들을(뉴스, 동영상, 온라인커뮤니티 등) 방문한 사용자 PC를 공격하는 기법에 패치가 없는 제로데이들이 사용되는 상황까지 이르렀다.

현 시점에서 국내 인터넷 환경을 공격하는 두 개의 제로데이가 대량 감염에 이용 되고 있다. 8억 5천만개 이상의 디바이스에 설치되어 운영되고 있는 자바(Java)에 대한 제로데이 공격과, 국내 인터넷 상거래 환경의 상당수를 차지하고 있는 인터넷익스플로러(IE) 6,7,8 버전에 대한 제로데이 공격이다. 그 시작은 지난 11일부터다. IE 제로데이인 CVE 2012-4792 취약성과 자바 제로데이인 CVE 2013-0422 공격이 국내를 대상으로 대규모 공격을 한 정황이 확인됐으며 현재 전문분석이 진행 중이다.

단 하나의 제로데이가 발생해도 파급력과 위험성은 높은데, 하나도 아닌 두 개의 제로데이가 직접 이용되고 모든 웹서비스 방문자를 대상으로 대량 감염을 시키는 상황은 절망적인 상황이라 할 수 있을 것이다. 지금의 상황에 대한 메시지는 극도로 위험함이라 규정 할 수 있다.

최근 국내에서는 금융 관련 피싱 및 소액결제 사기 등이 급증하는 현상이 계속 되고 있다. 그 피해의 이면에는 사용자 PC의 권한을 획득한 악성코드의 역할이 절대적이라 할 수 있다. 어떻게 이 악성코드들이 설치가 되었을까.

■공격 전략

공격자들은 효율적인 전략을 통해 대규모 감염을 위한 매커니즘을 운용 중이다. 이 매커니즘은 첫 번째로 취약한 웹서비스들을 먼저 공격해 권한을 획득 하는 것이다. 그 다음은 모든 권한을 가지고 있는 상태에서 웹서비스의 소스코드 중 극히 일부를 수정하거나 추가하는 형태를 보인다. 추가 되거나 수정되는 정보는 공격자가 이미 다른 서버에 올려둔 공격코드를 실행하는 트리거 역할을 하게 된다. 이 트리거는 공격자가 수정한 웹서비스를 방문하는 모든 사용자를 대상으로 실행이 된다.

1. 웹서비스 권한획득 – 모든 권한을 가지고 있으나 단지 소스의 일부만을 수정함

2. 소스코드의 일부를 공격자가 올려둔 공격코드가 실행 되는 주소로 변경

3. 이제 웹서비스 방문자들은 모두 자동으로 공격코드의 영향권에 있으며, 좀비PC화됨

4. 좀비 PC가 된 대량의 PC들에서 입력되는 모든 정보를 탈취하고, 금융기관 접속 시에는 URL을 변경하여 피싱사이트로 자동으로 연결 되도록 한다. (DDos 공격 및 내부 침입 등은 공격자의 선택 옵션일 뿐이다. )

공격자는 권한을 획득한 웹서비스의 소스에 위와 같은 자동 실행 부분을 추가한다. 관련 이미지는 1월 11일에 발견된 국내 유력 웹서비스 소스 변경 부분이며, 모든 방문자가 방문 시에 자동으로 실행돼 영향을 받는 부분이다. 추가된 소스코드의 상세분석에 따르면 IE 제로데이와 자바 제로데이를 동시에 활용해 공격하는, 전 세계에서 발견된 바 없는 제로데이를 두 개나 활용하는 소스코드이다. 해당 서비스에 방문하는 모든 사용자들은 영향을 모두 받았을 것이다.

Pop.htm은 Java 관련되어 제로데이를 포함한 6 종류 이상의 취약성을 공격하여 권한을 획득하는 공격 링크이며 popup.htm은 IE 관련 제로데이를 자동 공격하는 공격코드가 들어가 있는 부분이다.

■현재 상황

IE 관련 제로데이의 경우 이미 1월 초부터 국내 인터넷을 대상으로 하여 테스트를 하는 정황이 포착됐고, 시험이 완료됐을 것으로 추정한 바 있다. 1월 11일을 기해 자바 제로데이와 동시에 공격에 사용된 정황은 충격적이다. 자바 제로데이의 경우는 테스트 없이 바로 대량 감염에 직접 이용되는 상황이 관찰됐다.

지금 한국의 인터넷 상황은 기존의 취약성들에 대한 공격만으로도 60% 가량의 감염 성공률을 보이고 있다. 악성링크가 자동 실행되는 주요 웹서비스 방문자중 60% 가량 감염되고 있다. 이러한 상황에서 제로데이들을 직접 활용한다면 감염 성공률은 거의 90% 이상에 육박할 것으로 예상된다. 동영상을 보거나 파일을 다운로드 받는 곳, 브라우저로 뉴스를 보는 언론사이트 방문자 10명중 9명은 현재 제로데이의 공격에 직접 노출돼 있는 것이다.

필자가 근무하는 보안회사에서는 지난 11일을 기해 국내 인터넷 환경에 대해 위험성 수준을 매우 위험으로 상향하여 대응을 하고 있다. 일각에서는 아직 제로데이에 대한 공격이 해외에서나 발생 되는 일로 인지하고 있는 것은 매우 개탄스러운 현상으로서 현재 국내의 위험 상황을 제대로 파악하지 못하고 있는 것으로 여겨진다. 이미 두 개의 태풍은 한반도 상공에서 장기체류를 예정하고 있다.

설치된 최종 악성파일의 경우에도 1월 11일 최초 유포가 발생 되었음에도 불구하고 시일이 지난 이후에도 여전히 미보고된 악성코드이거나 일부 백신만 탐지하는 형태를 확인 할 수 있다.

■대책

현재로서는 공격기법을 막을 수 있는 마땅한 대안이 없다. 또 사용자 PC를 좀비PC화하는 악성파일도 기존 백신제품들에서 제대로 탐지가 안 되는 상황은 ‘왜 지금이 최악의 위기인지’를 대변하고 있다. 일부 탐지의 경우에도 최초 악성파일 유포 이후 3일의 시간이 지난 이후 진단된 결과며, 미보고 샘플은 1월 11일 최초 유포가 시작됐음에도 불구하고 여전히 보고된 바 없는 악성파일로 나타나고 있다. 무엇으로 막을 수 있을까?

그 대책으로, IE 제로데이와 관련해, MS가 전례를 찾기 힘든 긴급 대응 패치를 발표했다. 보안패치는 IE 6,7,8 사용자 모두에게 해당이 된다. 발표 이후에도 공격이 계속되는 것으로 보아 정확한 대응여부 검증에 대해서는 시일이 필요할 것으로 예상된다.

오라클의 경우도 자바 패치를 발표했지만 현재 패치의 완전성에 대해서는 검증된 바가 없고, 여전히 공격은 계속 진행 중이다. 특히 국내는 불특정 다수에게 취약한 웹서비스를 이용한 대량 공격이 계속되고 있어서 세계적으로 피해가 가장 심각한 측에 속할 것이다.

IE의 경우 패치의 안정성 여부를 떠나 IE 6,7,8 버전에 대한 전체적인 업그레이드가 요구되고 있으며, 자바의 경우 현재 패치의 비정기성도 문제가 있고 업데이트 설치 비율도 낮은 수준으로 판단된다. 2012년부터 발견된 자바 취약성과 2013년 신규 발견된 제로데이까지 합쳐진 최소 6 종류의 취약성에 대한 공격이 1월 11일 이후 주중에도 계속 발견 되는 상황에 처해 있다. 따라서 IE는 브라우저의 업데이트가 요구되며, 자바는 미국 연방정부의 권고안대로 삭제 및 사용금지가 현재로서는 유일한 대안이라 할 수 있을 것이다.

또한 국내의 위험을 적극적으로 알리기 위해 관찰 단계 상향이 필요하며, 제로데이 공격코드 유포와 관련된 웹 서비스들에 대한 강력한 통제 및 재발방지, 근본 원인 제거가 수반돼야 할 것이다.