취약점이 발견되고 해당 패치가 나오기 전 이 취약점을 이용한 공격이 발견되면 이를 '제로데이 공격(Zero-Day attack)'이라고 말한다.


최근 제로데이 공격의 첫 사례로 발견된 WMF 취약점을 이용한 공격이 국내에서도 유포되고 있는 것으로 밝혀졌다.


지오트 바이러스 분석실(GCERT)은 WMF 취약점을 이용한 악성프로그램 유포를 모니터링 과정에서 여러 외국 웹사이트에서 추가적으로 발견했으며, 국내에서도 유포되는 사례가 발견됐다며 사용자들의 각별한 주의를 당부했다.


현재 발견된 해킹된 국내 사이트 3곳은 모두 동일한 사이트로 현재는 해당 사이트의 접속을 차단한 상태이며, 해커는 새로운 주소로 접속을 시도하는것도 확인됐다.


http://61.77.***.**/ill.wmf
http://window-update*****.org/ill.wmf
http://www.****ltd.co.kr/ill.wmf


기존 사이트 차단 후 백도어가 새로 접속을 시도하는 사이트


http://218.145.***.** (8088 포트)


또한 스파이웨어나 성인사이트 홍보로 사용되던 동유럽의 특정 사이트에서 WMF 취약점을 이용하는 트로이목마 변종 150여개를 유포하는것이 발견되기도 했다.


WMF 배포 중국 해커 "취약점 이용 프로그램 따로 있다"
이 백도어에 감염될 경우 시스템 권한이 해커에게 완전히 장악되는 것으로 분석되었으며, 실제 지오트 바이러스 분석실(GCERT)에서 모의 테스트 과정중에 침입을 시도하는것이 감지되었다.


한편 지오트는 해당 트로이목마와 백도어를 유포한 해커와 온라인 인터뷰를 성공했다고 밝혔다. 지오트 바이러스 분석실(GCERT)은 "해당 파일을 테스트하는 과정에서 오늘 오전 11시경 외부의 불법 침입을 감지하였고, 해커와의 대화를 시도하였고 인터뷰에 성공했다"고 말했다.


이름을 밝히지 않은 이 해커에 의하면 자신이 유포한 바이러스는 자신이 만든 것이 아니라며 골드선(goldsun)이라는 예명을 사용하는 제작자가 만든 PC셰어(pcshare)라는 프로그램을 사용했다고 밝혔다. 자신의 나이를 24세라고 밝힌 이 해커는 골드선이 누구인지 모른다고 말했다.


WMF 취약점 세계적으로 빠르게 확산
WMF 취약점은 윈도우 메타 파일 포맷을 이용해 스파이웨어를 피해자의 PC에 몰래 설치한 뒤 이를 이용해 백도어를 열어 놓고 PC를 장악하는 용도로 악용될 소지가 있어 보안 업계는 해당 패치가 없기 때문에 피해가 급속하게 늘고 있는 것으로 파악하고 있다. 하지만 마이크로소프트는 현재까지 해당 패치를 내놓지 않고 있으며 1, 2주 후에 해당 취약점 패치를 배포할 것으로 알려졌다.


시만텍 보안연구소는 이 취약점과 관련해 위협 등급을 판단하는 스레트콘(ThreatCon) 레벨을 최고 4등급 중 3등급으로 경고 했다. 시만텍이 스레트콘 레벨을 3등급으로 올린 것은 지난 2004년 7월 MyDoom.M (마이둠.M) 변종 바이러스 이후 처음 있는 일이다.  


시만텍은 이 취약점이 지난 12월 27일에 처음 발견된 이후 빠르게 확산중이라고 경고하고 이 취약점을 공격하는 웜 등의 여러 악성 코드 프로그램이 웹, 이메일 및 인스턴트 메시지 등 다양한 매개를 통해 활동하고 있음이 발견됐다고 밝혔다.


안철수연구소는 "국내 발견 사례가 아직 한 건 정도로 피해는 미미할 것으로 보이지만 일단 감염되는 경로에 대한 운영체제 단계에서의 방지책이 없기 때문에 피해 사례를 주시하고 있다"고 밝혔다. 안철수 연구소는 WMF 취약점에 대해 '매우 높음' 단계의 위험 등급을 지정한 상태다.


안철수연구소를 비롯한 보안 업체들은 해당 보안 패치가 없기 때문에 일단 패턴을 인식한다거나 바이러스에 감염된 사이트 모니터링 등을 통해 사전 차단을 주력하고 있다.


시만텍 보안연구소의 수석 이사 알프레드 휴거(Alfred Huger)는 “오는 1월 10일 이후에나 해당 취약점에 대한 패치가 제공될 것이기 때문에, 공격자들이 이 취약점을 공격할 수 있는 통로가 일주일 가량이나 열려있는 셈이며, 이는 그 심각성과 확산 가능성이 매우 높다”고 경고하면서 “사용자들은 그 동안 수신되는 이메일과 방문하는 웹 사이트에 매우 높은 주의를 기울여야 한다”고 덧붙였다.


시만텍은 일단 패치가 배포되기 전까지 다음과 같은 방지책을 권고하고 있다.



  • 알 수 없는 혹은 예상치 못한 이메일 첨부파일을 열거나, 검증되지 않은 소스나 알 수 없는 웹 링크의 클릭은 피한다.
  • 이메일 프로그램의 미리 보기 기능을 꺼두어 HTML 이메일을 통한 감염을 방지한다.
  • 네트워크 트래픽 상의 악성 행위 모니터링을 위해 네트워크 침입 감지가 가능한 제품을 설치한다.

[명승은 기자]


SpotNews.com&매경인터넷. 무단전재 및 재배포 금지


<매경인터넷은 한국온라인신문협회(www.kona.or.kr)의 디지털뉴스이용규칙에 따른 저작권을 행사합니다>

Writer profile
author image
링블로그 주인장 그만입니다. 그만에 대한 설명은 http://ringblog.net/notice/1237 공지글을 참고하세요. 제 글은 CC가 적용된 글로 출처를 표기하시고 원문을 훼손하지 않은 상태로 퍼가셔도 됩니다. 다만 글은 이후에 계속 수정될 수 있습니다.
2006/01/04 14:46 2006/01/04 14:46

카테고리

전체 (1951)
News Ring (644)
Column Ring (295)
Ring Idea (1004)
Ring Blog Net (8)
Scrap BOX(blinded) (0)

달력

«   2024/11   »
          1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30

링블로그-그만의 아이디어

그만's Blog is powered by TEXTCUBE / Supported by TNM
Copyright by 그만 [ http://www.ringblog.net ]. All rights reserved.