유클린 뉴스

1회인터넷에도 사람이 살아요
목록

웹사이트 클릭하는 순간 악성코드 감염

제로데이 공격 현실화... MS-보안업계 '초긴장'

성연광 기자  |  2005.12.29 17:25
제로데이 공격 현실화... MS-보안업계 '초긴장'
제로데이 공격(Zeroday Attack)이 현실화됨에 따라 연말연시 사이버 보안에 비상이 걸렸다.

29일 새벽 0를 기해 패치가 발표되지도 않은 신규 보안 취약점을 이용한 악성코드가 등장했다. 이날 제로데이공격형 악성코드가 유포된 'www.unionxxxx.com ', 'iframeurl.xxx' 등 7개 해외 사이트는 현재 보안조치가 끝난 상태지만, 이미 알려진 취약점이라 언제 또다시 공격이 재개될 지 모르는 불안감속에 보안업체들이 크게 긴장하고 있다.

근본적인 해결책인 보안패치도 아직 발표되지 않은 상황. 이 때문에 당분간 PC사용자들은 보안패치가 나올때까지 각별히 유의해야한다.

더욱이 현재 국내에 많은 피해를 주고 있는 웹사이트 해킹과 제로데이 공격이 결합될 경우, 상상을 초월하는 막대한 피해가 발생할 수 있다는 게 전문가들의 공통된 견해다.

◇제로공격 이젠 '현실로'= 이번에 공격자가 이용한 보안 취약점은 일종의 이미지 파일인 '윈도 메타파일(WMF; Windows Meta File)'에서 발생된 것으로, PC 사용자가 '.wmf' 확장자의 파일을 볼때 원격에서도 악성코드를 실행시킬 수 있는 오류다.

즉, 공격자가 특정 웹사이트를 해킹해 악성코드 기능이 삽입된 이미지(wmf) 파일을 숨겨놓을 경우, 해당 웹사이트에 접속하는 것만으로 악성코드에 감염될 수 있다.

또 사용자 PC에서 윈도 탐색기 등을 사용해 '*.wmf' 포맷 파일을 미리보기하는 것만으로 감염될 수 있어, 경우에 따라 PC 사용자들에게 심각한 피해를 줄 수 있다.

무엇보다 보안 전문가들이 가장 심각하게 받아들이는 것은 제로데이 공격이 현실화됐다는 점이다.

제로데이 공격이란 시스템의 보안 취약점이 발견된 뒤 이를 막을 수 있는 패치가 발표되기도 전에, 그 취약점을 이용한 웜 공격을 감행하는 수법이다. 이 경우, 별도의 대처방안이 없게 돼, 가공할만한 피해를 발생할 수 있다는 점에서 그동안 보안 전문가들이 가장 우려해왔던 보안 위협이다.

실제 이같은 제로데이 공격 가능성은 일찌감치 예견돼왔다. 지난 2001년 9월 발생한 님다(Nimda)의 경우, 윈도 취약점이 발표된 지 336일에 등장한 반면, 2003년 우리나라의 인터넷 대란을 일으킨 슬래머(Slammer) 웜의 경우, 183일 정도로 웜 출현시기가 절반으로 줄어들었으며, 2003년 8월 발견된 블래스터(Blaster) 웜은 26일, 새서(Sasser) 웜은 18일로 단축됐다.

특히, 지난 8월 전세계를 강타한 'Zotob' 웜의 경우, 보안패치가 발표된 지 5일만에 출현하면서, 제로데이 공격이 조만간 현실화될 것이란 우려가 높았던 상황이다.

안철수연구소 정진성 주임연구원은 "이번에 발견된 취약점의 경우, 피해 대상자가 MS 윈도XP나 MS 윈도서버 2003 이용자에게 제한됐긴 했지만, 보안 취약점이 인터넷에 알려진 지 하루도 안돼 시작된 제로데이 공격이라는 점에서 충격적"이라고 지적했다.

◇중국발 해킹과 결합 '최악의 시나리오'= 이번에 제로데이 공격이 발생하자, MS 본사는 곧바로 비상대응팀을 구성해 패치개발 작업에 착수했다. 시만텍, F-시큐어, 카스퍼스키랩, 지오트 등도 이날 발견된 악성코드 패턴을 각사의 보안제품에 패턴 업데이트하는 한편, 일제히 비상대응체제에 돌입했다.

그러나 실제 보안패치 발표되고 배포되기까지는 최소한 한달 이상의 시간이 걸릴 것으로 예상된다. 이 기간동안 이번 WMF파일 취약점을 이용한 새로운 공격이 감행될 경우, 철저히 백신 등 보안제품에 의존해야 되지만, 이마저 신종 악성코드가 발견된 이후에나 조치가 가능한 사후대처 수준이기 때문에 현재로선 근본적인 처방이 될 수 없다.

이에 따라 이용자들은 당분간 보안패치가 나올때까지 wmf 확장자를 가진 파일을 열지 말고, 인터넷 익스플로러 보안설정을 'high'로 설정하는 등 스스로 조심할 수 밖에 없다.

현재 국내 보안 전문가들이 가장 우려하는 있는 시나리오는 현재 국내에서 끊임없이 이어지고 있는 웹사이트 해킹과 이번 제로데이 공격이 결합되는 것이다.

중국발 해킹의 경우, 다수의 웹사이트를 해킹해 트로이목마가 숨겨진 숙주서버에 링크를 거는 방식으로, 사용자 PC를 감염시켰지만, 이번에 발견된 제로데이 취약점을 악용할 경우, 다수의 해킹된 사이트에 곧바로 WMF 취약점을 이용한 트로이목마를 올릴 수 있어, 파급효과가 상당히 클 것으로 우려된다.

이 경우, 사용자들은 과거 MS보안패치 여부와는 상관없이 해킹된 사이트를 접속하는 것만으로 악성코드에 감염될 수 있다.

지오트 문종현 실장은 "중국발 해킹과 결합된다면, 그동안의 이루어져왔던 해킹피해보다 훨씬 강력한 피해가 우려된다"며 "MS사에서 관련 보안패치를 신속히 발표하기만을 기대할 수 밖에 없는 상황"이라고 전했다.