5일 국내 5~6개 사이트 해킹피해… 피해규모 확산 불가피할 듯
"우려가 현실로"

제로데이 취약점(악성 WMF파일)을 이용한 중국발 해킹이 본격화됐다. 보안 전문가들이 가장 우려해왔던 가상 시나리오가 현실로 드러나고 있는 셈이다.

5일 관련 정부기관 및 보안업계에 따르면, 이날 새벽부터 국내 5~6개 중소 웹사이트가 제로데이 취약점과 결합된 중국발 IP로부터 해킹을 당해, 백도어(해킹) 프로그램를 유포했던 것으로 확인됐다.

제로데이 취약점 공격이 국내 상륙한 지 불과 이틀만에 전면전 양상으로 치닫고 있는 것이다.

특히, 이날 오전에 해킹을 당한 F사의 경우, 공격자가 제로데이 취약점을 이용해 국내 특정 온라인 게임이용자의 아이디와 비밀번호를 훔쳐가는 트로이목마를 유포한 것으로 밝혀져, 제로데이 공격과 중국발 해킹이 본격적으로 결합됐음을 시사해주고 있다.

현재 피해가 확인된 웹사이트들은 모두 보안조치가 완료됐지만, 현재 상당수 웹사이트들이 피해를 당하고 있으며, 앞으로도 지속적으로 피해가 늘어날 것으로 보안 전문가들은 우려하고 있다.

이날 중국발 IP를 사용한 공격자들은 이들 국내 웹사이트들을 해킹한 뒤 중국 현지 서버에 숨겨놓은 '악성 WMF파일'로 링크(iframe 방식)를 걸어놨다.

이렇게 되면, 네티즌들이 피해 사이트에 접속하는 순간 링크돼 있던 악성 WMF파일이 사용자 PC에 자동 실행된다.

이 악성 WMF파일은 또다시 중국 현지 서버에 감춰둔 '백도어 프로그램'이나 '온라인 게임계정정보 탈취용 트로이목마'를 다운로드해 사용자 PC를 감염시킨다.

이 경우, PC 이용자들은 정보유출은 물론, 해커에서 시스템 관리권한을 내주게 돼 제3의 사이버 범죄에 악용될 수 있다는 점에서 이용자들의 각별한 주의가 요구된다.

문제는 해커들이 공격수법으로 사용한 '악성 WMF 파일 취약점'의 경우, 아직까지 MS사의 보안패치가 나오지 않은 제로데이(Zero-Day) 취약점이라는 것.

이는 보안패치 여부와는 상관없이 피해 사이트에 접속하는 순간 누구나 악성파일에 감염될 수 있다는 얘기다.

기존 중국발 해킹에 전파수법으로 주로 이용됐던 MS 익스플러의 'chm(도움말) 취약점'은 지난 2004년 이미 보안패치가 발표된 상태로, 최신 보안패치가 이뤄진 PC사용자의 경우, 아무런 감염 피해가 발생하지 않았다.

이에 따라 중국발 해킹으로 인한 PC이용자들의 정보유출 피해가 상상을 초월하게 될 수도 있을 것이란 분석이 벌써부터 나돌고 있다.

한국정보보호진흥원(KISA)은 사고발생후 관련 악성 WMF파일 및 악성코드 샘플을 보안업체들에게 긴급히 전파해 보안 업데이트 조치를 할 수 있도록 하는 한편, 중대형 웹사이트들을 대상으로 보안 모니터링을 더욱 강화하는 등 분주히 나서고 있다.

이와 관련, 보안 전문가들은 "현재로선 보안패치가 나오지 않은 상황에서 임시방편으로 PC 이용자들은 최신버전으로 백신 업데이트를 실시하고, 웹서핑시 실시간 악성코드 감지기능을 사용할 것"을 철저히 당부했다.

또한, 현재 인터넷 웹사이트외에 스팸메일과 메신저를 통해 동시다발적으로 유포될 수 있어, 알 수 없는 이미지 파일의 경우, 미리보기 기능을 이용하거나 클릭하지 말 것을 권고했다.

보안업계의 한 관계자는 "중국 해커그룹 사이에 악성 WMF제작툴이 이미 공유되기 시작한만큼, 제로데이 취약점을 이용한 중국발 공격이 보다 강도높게 강행될 것"이라며 "공격자들이 제작툴을 이용할 경우, 지속적인 변종 파일을 이용할 가능성이 큰데다, 백신제품의 경우, 악성코드가 보고된 뒤에나 조치가 가능하기 때문에 현재로선 이용자 스스로 각별히 조심할 수 밖에 없는 상황"이라고 지적했다.