WMF 취약점 이용한 공격 '일단락'...웹사이트 통한 유포는 계속될 듯
"은밀한 공격은 계속된다."

연말연시 전세계 보안당국을 크게 긴장시켰던 제로데이 공격(Zero-Day Attack)이 지난 6일 마이크로소프트의 긴급 보안패치로 별다른 피해없이 일단락되는 분위기다.

그러나 안심하기에는 아직 이르다. 지난해 국내 네티즌들을 끊임없이 괴롭혔던 중국발 해킹과 이번 윈도메타파일(WMF) 취약점 공격과 같이 공격행위 탐지가 쉽지 않거나 피해를 당해도 이용자들이 쉽게 눈치채지 못하는 '은밀한 공격'이 앞으로 더욱 기승을 부릴 것으로 전망되고 있다.

◇제로데이 공격 고비는 넘겼다= 지난 연말 제로데이 공격으로 첫 보고된 WMF 취약점을 이용한 악성코드 공격이 지난주 본격적으로 국내 유입되면서 보안당국을 긴장시켰다.

특히, 지난 2일부터 중국발 해킹 피해를 당한 5~6개 국내 웹사이트에서 공격자들이 악성코드 유포에 'WMF 취약점'을 적극 이용했던 것으로 밝혀지면서, '제로데이 공격과 결합된 중국발 해킹'으로 인한 무차별적 피해 확산이 우려돼왔던 실정.

그러나 해외 정보망과 연계된 한국정보보호진흥원(KISA)의 초동 대처와 6일 마이크로소프트사의 사상 유례없는 긴급 보안패치로 더 이상의 피해 확산은 없었던 것으로 파악되고 있다.

이는 당초 일정보다 빠른 MS사의 패치발표로 WMF 취약점이 새로운 공격루트로서의 매력이 상당부분 희석됐기 때문으로 풀이된다. 실제, 한국마이크로소프트는 윈도 보안패치가 발표된 6일부터 상당수 국내 PC이용자들이 관련 보안패치를 받아간 것으로 자체 추정하고 있다.

물론 보안패치 발표 전처럼 막강한 위협이 되진 않겠지만, 기존 익스플로러 취약점과 더불어 WMF 취약점이 새로운 악성코드 유포수법으로 활용될 가능성은 여전히 상존하고 있다. 무엇보다 보안 전문가들이 우려하는 것은 이번 사례를 계기로 패치전 보안 취약점을 이용한 '제로데이 공격'이 일반화될 것이란 전망이다.

사실 그동안에도 신규 취약점을 이용한 공격사례는 종종 있어왔지만, 이번 WMF 취약점 사례처럼 공격자들 사이에 기법과 툴(도구)이 광범위하게 공유된 사례는 없었다는 것이 MS측 설명이다.

이번 사례를 계기로 앞으로 이같이 알려지지 않는 신규 취약점 정보들이 빠르게 유포돼 패치 전까지 전세계 각지에서 동시다발적인 공격이 이루어지는 제로데이 공격이 본격화될 수 있다는 게 보안 전문가들의 우려다.

◇은밀한 공격 주류 차지할 듯=이번 WMF 취약점 공격사례는 또 보안이 취약한 웹사이트를 해킹한 뒤 이를 통해 악성코드를 유포하는 수법이 보편화되고 있음을 경고해주고 있다.

공격자들은 악성 WMF파일 유포를 위해 스팸 e메일이나 메신저도 이용했지만, 보다 광범위한 유포경로 차원에서 보안이 취약한 불특정 웹사이트들을 활용했다. 이는 다수의 국내 웹사이트를 해킹해 온라인 게임 계정정보 탈취용 트로이목마를 유포해왔던 중국발 해킹과 일맥상통하고 있다.

이같이 웹사이트 해킹을 통해 악성코드를 유포하는 신종 공격수법은 경우에 따라 e메일나 네트워크 전파 등 기존 웜, 바이러스 전파 경로보다 보다 광범위한 피해를 입힐 수 있는데다, 80포트(인터넷서비스 채널)를 이용한 웹 공격 자체가 방화벽(파이어월), 침입탐지시스템(IDS) 등 기존 네트워크 중심의 경보 및 보안체계로는 이를 막아내는데 한계가 있다는 점에서 더욱 심각할 수 있다.

이안시큐리티의 정문수 대표는 "웹 취약점을 이용한 악성코드 유포수법은 탐지 자체가 어려운데다, 이를 통해 유포되는 악성코드도 대부분 시스템이나 네트워크를 다운시키는 등의 피해를 입히지 않은채 은밀히 PC 이용자 프라이버시나 기업 정보를 빼내기 때문에, 설령 피해를 당해도 모르고 지나는 경우가 많아 기존 공격방식보다 훨씬 더 위협적"이라고 지적했다.

기존 웜이나 바이러스의 경우, 광범위하게 확산되려면 대규모 네트워크 트래픽을 유발하거나, 시스템을 파괴하기 때문에 오히려 공격 시도를 쉽게 발견, 대응할 수 있다는 게 그의 설명이다.

보안 전문가들은 "이같은 은밀한 공격의 대부분이 금전취득을 목적으로 이루어지고 있다는 점도 눈여겨봐야한다"며 "결국 PC 이용자들 스스로 인터넷이나 이메일, 메신저 사용시 언제나 자신의 정보 유출을 염두해두고 보안을 생활하는 수 밖에 없을 것"이라고 입을 모으고 있다.

네트워크 침해사고 대응 중심으로 짜여진 국내 보안체계도 이같은 새로운 위협 패러다임에 맞춰 개편돼야한다는 지적도 여전히 높다.

과거 1.25 인터넷 대란 이후 네트워크 백본망과 기간망에 대한 보안체계는 세계 정상급 수준으로 강화된 반면, 최근의 중국발 해킹처럼 웹사이트 해킹을 통한 악성코드 유포나 개별 PC에 대한 프라이버시 유출 피해에 대해선 별다른 대응책이 없다보니 현재도 속수무책으로 당하고 있다.

실제 보안업체인 지오트에 따르면, 신년들어 1주동안에만 중국발 해킹을 당해 악성코드가 유포되는 웹사이트 피해건수가 367개를 넘어섰다. 문제는 아직까지도 수많은 웹사이트들이 설계 당시 이같은 공격수법을 감안하지 않고 개발, 운영되고 있어, 언제든지 악성코드 유포 사이트로 악용될 소지가 다분하다는 것.

결국 이 문제에 대한 국가적 대책이 없다면 1.25 대란과 같은 서비스 중단보다 더욱 중요할 수 있는 국민들의 대규모 '프라이버시 유출' 사태에 직면할 수도 있다는 게 전문가들의 경고다.