지난 밤 인터넷 업계에 '제로데이 공격(0-Day attack)'에 해당되는 트로이 목마가 발견돼 연말연시 보안에 대한 위기감이 고조되고 있다.
지난 28일 보안 취약점이 발견된 시점으로부터 24시간이 경과되지 않은 시점에 해당 취약점을 이용한 트로이목마가 유포되면서 제로데이 공격이 발생했다는 점에서 보안 업계가 긴장하고 있다.
제로데이 공격(또는 위협)이란 새로운 보안 취약점이 발견되었을 때 이 문제가 해결되거나 패치가 발표되기 전에 해당 취약점을 이용한 공격이 발생하는 것을 말한다. 이는 해커들의 정보 수집 능력이나 취약점 분석 능력이 고도화되면서 보안업계의 대응이 갖춰지기 전에 취약점을 이용한 공격이 가능해질 것이란 시나리오가 가능하다는 점에서 보안 업계에서는 마치 '그날' 처럼 두렵게 기다려온 공격 형태다.
최근 이 제로데이 공격은 'http://un*******.com/d/**/wmf_exp.htm'라는 사이트로 통해서 배포되었으며, 현재는 해당 사이트가 정상적으로 접속되지 않는 상태이다.
이외 약 7개의 다른 사이트등을 통해서 유사한 트로이목마가 유포되는 것을 지오트 바이러스 분석실(GCERT)에서 추가로 발견했다.
WMF(Windows Metafile Format)은 윈도우 메타 파일 형식으로 윈도우에서 벡터 도형을 응용프로그램 간에 교환하기 위해 저장하는데 도형파일형식으로, 비트맵과 텍스트용으로도 사용되지만, 도형을 그리기 위한 윈도우 명령이 포함되어 있기 때문에 주로 벡터 도형 파일 형식으로 사용된다.
이번에 발견된 취약점은 사용자가 WMF 형식 파일을 볼 때 파일분석과정에서 오류가 존재하여, 원격 또는 로컬 공격자가 임의의 코드를 시스템 권한으로 실행시킬 수 있다.
지오트 바이러스 분석실(GCERT)은 오늘 새벽, 4개의 wmf 샘플을 입수하였으며, 일부 모의 테스트 결과 스파이웨어 종류의 파일을 임의로 다운로드하는 증상을 가졌다고 밝혔다.
설치되는 파일중 일부는 이메일 웜(Email-Worm.Win32.Locksky.p)등도 포함되어 있었다.
wmf 파일은 마우스 커서와 닿거나, 미리보기등으로 설정되어 있을 경우 자동으로 실행되며, boot.inx 파일을 받아와서 실행시킨다.
boot.inx 는 실제로는 exe 파일이며, 실행시 작업관리자를 사용하지 못하게 레지스트리를 변경하고, netsh.exe 를 실행한 다음에 아래와 같은 특정 웹사이트에서 파일을 z11.exe, z12.exe, z13.exe, z14.exe, z15.exe, z16.exe 등의 이름으로 다운로드한다.
스파이웨어에 감염되면, 시스템에 감염되었다는 영문메시지가 트레이부분에 팝업으로 출력되며, 스파이웨어 치료 프로그램을 강제로 받아 설치하기도 한다.
결과적으로 스파이웨어와 스파이웨어 검사프로그램을 동시에 설치하여 사용자로 하여금 유료로 치료하도록 유도한다.
지오트바이러스 분석실은 이 공격을 통해 스파이웨어가 다운로드 돼 실행되면 사용자 아웃룩 아이디와 암호가 유출될 가능성도 있다며 사용자들의 주의를 당부했다.
한편 미국 등 외신에서도 제로데이 공격에 대한 정보가 빠르게 업데이트 되고 있다.
[명승은 기자]
ⓒ SpotNews.com&매경인터넷. 무단전재 및 재배포 금지
<매경인터넷은 한국온라인신문협회(www.kona.or.kr)의 디지털뉴스이용규칙에 따른 저작권을 행사합니다>