WMF, ANI 취약점 공격 '한국' 집중겨냥...근본대책 서둘러야
우리나라가 제로데이(Zero-Day) 공격 진앙지로 주목받고 있다.

지난해 초 마이크로소프트 윈도의 신규 취약점을 악용한 제로데이 공격 당시 국내 인터넷 이용자들만 유독 피해를 입은데 이어 이번에도 또다른 신규 제로데이 공격으로 인해 국내 피해가 속출하고 있기 때문.

지난 29일 보고된 새벽 MS 윈도의 'ANI' 파일 취약점을 악용한 제로데이 공격 징후가 포착된 이래 벌써 4~5곳의 국내 웹사이트들이 해킹을 당해 제로데이 공격을 위한 유포지로 악용 당했다. 최초 제로데이 공격징후가 포착된 중국 외에 피해가 보고되기는 한국이 처음이다.

정확한 피해규모는 밝혀지지 않았으나, 이들 중 방문자수가 많은 중대형 사이트들이 포함돼 있는데다, MS사로부터 아직 이에 대한 보안패치가 나오지 않았다는 점에서 적지않은 이용자들이 이미 악성코드에 감염되는 피해를 입었을 것으로 추정된다.

이에 앞서 지난해 초 MS 윈도의 첫번째 제로데이 공격코드인 'WMF' 파일 취약점이 발견됐을 때도 마찬가지다.

초기 윈도메타파일(WMF) 취약점을 악용한 트로이목마가 발견된 곳은 원래 유럽지역이었으나, 불과 2~3일만에 국내 인터넷 사용자들을 겨냥한 중국발 해킹에 결합되면서 유독 한국에서만 수많은 네티즌들이 피해를 입혔다.

제로데이 공격이란 새로운 중대한 시스템 취약점을 이용해 해당 보안패치가 발표되거나 보급되기 이전에 공격을 감행하는 해킹 수법으로, 시스템업체가 해당 취약점을 내놓기 전에는 근본적인 방어책이 없다는 점에서 보안전문가들이 가장 우려하는 공격형태다.

◇중국발해킹 '고리 끊어야'

이처럼 최근 발생한 제로데이 공격으로 인한 피해가 한국에만 몰리는데는 중국발 해킹과 결합되고 있기 때문. 국내 온라인 게임 이용자들의 개인정보(접속 아이디와 비밀번호)를 빼내, 게임 아이템을 절취해가는 중국발 해킹이 현재까지도 기승을 부리고 있다.

이 때 주로 사용되는 수법이 이용자수가 많은 국내 웹사이트를 해킹한 뒤 이곳에 악성코드를 숨겨놓거나 경유지로 악용하는 방식. 만약, MS 보안패치를 받지 않았을 경우, 이용자들이 해당 웹사이트들에 접속하는 것만으로 개인정보를 탈취해가는 악성코드에 자동으로 감염될 수 있다.

공식적으로 지난해 이같은 중국발 해킹에 국내웹사이트가 당한 피해건수만 6617건. 지난 2월까지 올들어서만 877개의 사이트가 당했다. 국가공공기관과 미집계 건수를 합하면 이보다 훨씬 많은 사이트들이 중국발 해킹에 속수무책으로 당한 셈이다.

이 과정에서 해커가 미처 보안패치가 나오지도 않은 신규 취약점(제로데이 공격코드)을 악용할 경우, 이용자가 아무리 적기에 보안패치를 받았더라도 감염될 수 밖에 없다. 때문에 파급력이 더 크다. 중국 해커들이 제로데이 공격코드를 적극적으로 악용하는 것은 이 때문이다. 중국 해커들 사이에선 아직까지 포착되지 않은 신규 제로데이 코드가 존재할 것이란 소리도 들린다.

전문가들은 무엇보다 게임 아이템 매매에 대한 보다 근본적인 대책이 나와야한다고 지적하고 있다. 아직까지도 이처럼 국내 온라인 게임 이용자들을 겨냥한 해킹이 기승을 부리는데는 여전히 '돈'이 되고 있기 때문.

게임 아이템 매매가 이처럼 '검은 돈'과 직결되고 있는 산업구조가 획기적으로 개선되지 않는 한, 앞으로도 지속적인 공격 대상이 될 수 밖에 없다는 게 이들의 경고다.

◇만연된 보안불감증도 '한몫'

한국을 대상으로 제로데이 공격이 일반화되고 있는데는 이같은 '검은 돈'과의 유착구조 뿐 아니라 국내에 만연된 보안불감증도 한몫하고 있다.

이번에 공격자들에게 해킹을 당해 제로데이 공격코드(신규 취약점을 악용한 악성코드) 유포지로 악용당한 사이트들 가운데는 그동안 여러차례 중국발 해킹 공격에 당한 사이트가 포함돼 있는 것으로 알려졌다.

매번 해킹을 당해 악성코드 유포지로 악용 당하면서도 근본적인 대책없이 웹서버에서 공격코드만 살짝 빼내는 임시방편책만 사용하고 있기 때문. 이에 대한 공지조차 없어 해당 사이트를 방문했던 인터넷 이용자들만 고스란히 피해를 입고 있는 셈이다.

보안업계의 한 관계자는 "언론사, 공공기관을 포함해 해킹당한 사이트들이 대부분 피해 사실을 알려줘도 이를 근본적으로 막기보단 쉬쉬하고 지나가는 경우가 대부분"이라면서 "상황이 이렇다보니 심지어 보안업체들 사이에 자주 해킹당하는 사이트들을 블랙리스트화해 공유하고 있는 실정"이라고 말했다.

방문자수가 많은 인터넷사이트들의 해킹 피해 예방을 위해 정부가 '안전진단제'를 시행하고 있다. 그러나 정작 개인정보보호 대책이나 보안관리쪽에 초점을 맞춘 채 웹사이트 보안에 대해선 특별한 진단항목이 없어 이같은 중국발 해킹에는 유명무실하다는 지적이다.

언더그라운드해커그룹에서 활동하는 한 관계자는 "국내 웹사이트의 80% 이상이 맘만 먹으면 뚫릴 정도로 취약한 게 사실"이라며 "이에 대한 보안을 제대로 강화하기 위한 특단의 대책이 없는 한 중국발 해킹과 같은 웹사이트 공격은 갈수록 심해질 것"이라고 경고했다.

한편, 인터넷 이용자들의 보안 마인드 개선도 시급하다. 중국발 해킹에 자주 악용되는 취약점은 'MS06-014'. 이미 지난해 4월 보안패치가 적용됐지만, 이용자들의 보안패치가 미흡하다는 점 때문에 여전히 중국해커들 사이에 선호되고 있다.

실제 지난 2월 한국정보보호진흥원(KISA)가 적발해낸 대규모 중국발 해킹사건의 경우, 공격시도를 받았던 PC 중 15%인 9만여대가 실제 감염되는 피해를 입은 것으로 나타났다. 그만큼 보안패치가 제대로 이루어지지 않고 있다는 얘기다.

MS가 이번에 발견된 'ANI파일' 취약점 보안패치를 오는 4일 내놓는다. 그러나 이용자들의 적극적인 의지가 없는 한 대부분의 사용자들이 이를 제대로 패치받는데까지는 상당한 시일이 걸릴 것으로 보인다.

한 보안 전문가는 "보안패치만 제대로 받아도 이같은 중국발 악성코드가 감염되는 피해의 90% 이상을 막을 수 있다"며 "이번에 발견된 취약점은 굳이 게임계정 탈취용 악성코드 뿐만 아니라 사용자 PC를 완전 장악할 수 있는 백도어 유포에도 이용될 수 있다는 점에서, 보안패치가 나오면 신속히 업데이트 받아야할 것"이라고 당부했다.