국내 웹사이트에서 악성 WMF파일 유포 '제2의 사이버대란' 우려
제로데이 공격코드가 미국, 독일, 유럽 등지에 이어 우리나라에도 본격 상륙했다.

보안패치가 발표되지 않은 악성 윈도메타파일(WMF)이 첨부된 스팸메일이 국내 서버를 통해 대량 유포된 사건이 발생한데 이어, 이번에는 악성WMF파일이 유포되는 웹사이트가 발견되자, 국내 보안당국이 초긴장하고 있다.

4일 국내외 보안업계에 따르면, 국내 모 중소기업 서버가 해킹돼 악성 WMF파일이 이곳 홈페이지를 통해 유포되는 사건이 발생했다.

악성 WMF파일은 마이크로소프트 윈도의 그래픽엔진이 이미지파일인 WMF 파일을 처리하는 과정에서 악의적인 코드를 원격지에서 실행할 수 있는 취약점을 이용한 코드로, 해당 취약점이 발견된 지 24시간도 지나지않아 이를 악용한 악성코드가 유포된 세계 첫 제로데이 공격으로 알려졌다.

공격자는 이 회사 서버를 해킹해 WMF 취약점을 악용한 악성파일(ill.wmf)을 숨긴 뒤 자체 홈페이지에 링크(IFRAME 방식)를 걸어 이곳에 국내 네티즌들이 접속하면 악성 WMF파일이 자동으로 사용자 PC에 설치되도록 했다.

만약, 사용자들이 이곳 홈페이지가 피해를 입은 뒤 접속했다면, 악성 WMF파일이 사용자 PC에 자동설치되며, 일종의 해킹프로그램인 백도어 프로그램(mail.exe)을 비롯한 몇몇 악성코드가 재감염시킨다.

현재 몇몇 보안업체가 샘플분석을 진행 중이지만, 이 백도어에 감염되면 시스템 권한이 공격자에게 완전히 장악되는 것으로 추정되고 있다. 가령, PC내 모든 정보를 빼낼 수 있는 것은 물론 스팸메일 발송이나 해킹 등 사이버 범죄에도 악용될 소지가 크다는 점에서 충격적이다.

이곳 피해 사이트에는 또 동일한 악성 WMF파일이 첨부된 스팸메일도 발송된 것으로 알려졌다.

문제는 아직까지 이같은 피해를 근본적으로 막을 수 있는 마이크로소프트사의 보안패치가 완료되지 않은데다, 윈도 98, ME, 2000, XP, 서버2003 등 대부분의 윈도 사용자들이 이같은 공격 취약점에 노출돼 있다는 것. 이같은 공격이 재발할 경우, 자칫 대규모 사이버 대란까지도 우려되는 상황이다.

이번 제로데이 공격으로 벌써 2번째 피해 사이트가 발생하자, 한국정보보호진흥원(KISA)는 사태를 예의주시하며 비상대책에 나섰으며, 안철수연구소, 지오트 등도 고객들을 대상으로 긴급 보안 업데이트에 돌입하는 등 초긴장하고 있다.

미국 마이크로소프트 본사도 이날 새벽 전세계 지사와 긴급 컨퍼런스콜을 소집해 관련 보안패치를 내주쯤 발표될 수 있을 것이라는 입장 전달과 함께 보안패치 완료 전까지 고객들에게 임시 보안조치를 홍보해줄 것을 당부했다.