윈도우 취약점 이용한 악성코드, MS 워드 악성코드로 변형  

악성코드에 당하지 않으려면 윈도우 업데이트 서둘러야

▲티베트 NGO단체를 겨냥한 악성코드 ⓒ하우리 선행기술팀

[보안뉴스 오병민] 이미 알려진 취약점과 유사한 방법을 이용해 보안업계의 감시를 피하는 최신 악성코드가 발견됐다. 이 취약점을 이용한 악성코드는 아직까지 대다수 백신에서 진단이 되지 않고 있어 각별한 주의가 요구되고 있다.

이 악성코드는 지난 12일 티베트 NGO단체의 관계자에게 보내진 메일에 첨부된 워드문서에서 발견됐다. 전문가들은 공격자들이 티베트 NGO 단체에 대한 APT 공격을 목적으로 이 악성코드를 이용했을 가능성이 있다고 분석한다.

이 취약점은 제로데이(대응방법이 알려지지 않은 취약점)로 알려져 패치가 발표되긴 했지만 실제 공격에 이용된 것은 이번이 처음이다.

이 문서에 포함된 악성코드는 윈도우 공용 컨트롤 MSCOMCTL ActiveX Control의 취약점인 CVE-2012-0158 (MS12-027)을 이용한 것으로 윈도우 공용 컨트롤 컨텐츠가 포함된 MS워드, 엑셀파일 등을 통해 정보수집이나 공격명령을 수행하는 악성코드 유포가 가능하다.

그런데 이번 취약점의 특징은 2010년에 이미 공개된 MS워드 취약점(CVE-2010-3333)과 유사한 RTF 포맷을 사용하여 보안기업들의 분석을 피하고 있다는 점이다.

CVE-2010-3333 해당 취약점은 MS 워드 문서 파일 포맷 중 하나인 ‘서식이 있는 텍스트(*.RTF)’를 이용한 것으로, RTF 포맷 문서를 분석하는 과정에서 발생하는 스택 버퍼 오브 플로우 취약점을 이용한 것이다. RTF 문서는 확장자를 DOC로 변경해도 MS워드에서도 열리기 때문에 워드 문서를 이용한 다양한 공격에 이용될 수 있다.

최상명 하우리 선행기술팀장은 “해당 취약점을 이용하면 특수하게 조작된 웹페이지를 방문했을 때나 특수하게 조작된 MS 오피스 문서파일(워드, 엑셀, 파워포인트)를 열람했을 때 악성코드 유포가 가능하며, 특히 현재 유포되고 있는 MS 워드 문서를 이용한 방식이 기존의 CVE-2010-3333 취약점과 같은 RTF 포맷을 사용함으로써 보안분석가들이 최신 취약점을 기존 취약점으로 오해할 수도 있으니 주의가 필요하다”고 설명했다.

 

▲CVE-2010-3333과 CVE-2012-0158 ⓒ하우리SIRT

따라서 현재까지 해당 악성코드를 진단하는 백신은 전 세계 42개 백신 중 2개뿐이다. 진단하고 있는 2개 백신마저도 국내에서는 사용되지 않고 있는 백신이기 때문에 보안 패치만이 이 악성코드로 인한 피해를 막을 수 있는 가장 확실한 방법이다. 그러나 최근 MS 윈도우에 대한 보안 패치가 연이어 나오고 있어 패치를 미루는 사용자들이 적지 않다.

 

최 팀장은 “해당 취약점에 대한 패치는 지난 4월 11일에 발표가 되긴 했지만 아직까지 보안패치가 진행되지 않은 MS 윈도우 이용자들이 많아 신속한 패치가 요구되고 있다”고 말했다.

[오병민 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>