1개 이상의 제로데이 취약점 이용한 타깃 공격...정보유출 등 목적

MS, 임시조치법 시행 권고...정식패치는 1월 8일 배포 예정

[보안뉴스 호애진] 최근 MS 제로데이 취약점을 이용한 공격이 다수 발견되고 있어  문제가 되고 있다.

이는 몇달 전 새롭게 등장한 해킹 기법으로, 최근 심각한 보안위협으로 부상한 워터링홀(Watering hole) 공격이다.

이번 MS 제로데이 취약점이 발견된 것은 중요 인사들이 회원으로 가입해 있는 美 외교 협회 홈페이지를 대상으로 한 워터링홀 공격이 탐지되고 난 후다.

공격은 해당 브라우저가 미국, 중국, 대만 러시아, 일본, 한국 언어로 설정된 사용자들을 타깃으로 했다. 국내 인터넷 사용자를 대상으로 한 공격 정황도 포착돼 신속한 대응이 필요한 상황이다.

워터링홀 공격은 타깃화된 사이버 첩보활동에 주로 쓰이고 있다. 정보유출 등을 목적으로 하고 있으며, 하나 이상의 제로데이 취약점을 이용한다.

이 단어는 사자가 마치 먹이를 습격하기 위해 물 웅덩이(Watering hole) 근처에서 매복하고 있는 형상을 빗댄 말이다. 사용자가 덫에 걸리기만을 기다리고 있는 것.

공격자는 우선 타깃으로 하는 사용자의 정보를 수집해, 방문하는 웹사이트들을 알아낸다. 그리고 이 웹사이트들을 대상으로 취약점이 있는지를 파악하고, 해킹이 가능한 웹사이트를 골라 제로데이 취약점의 공격코드를 심은 특정 웹사이트로 리다이렉트 하도록 자바스크립트나 HTML을 삽입한다. 이제 해당 웹사이트는 타깃 사용자가 감염되기만을 기다리는 것이다.

제로데이 취약점을 이용한 공격은 스턱스넷(Stuxnet)이나 듀큐(Duqu), 오로라(Aurora)와 같이 과거에도 많이 발생했기 때문에 워터링홀 공격이 전혀 새로운 것이라고 보기는 어렵다. 다만, 보다 지능화되고 고도화된 타깃형 공격이 등장하고 있다는 점에서 위험성이 높아지고 있다.

한편, MS는 보안권고문을 발표하고, 이 취약점을 해결한 보안 업데이트가 발표되기 전까지 임시조치법(http://support.microsoft.com/kb/2794220)을 시행할 것을 권고했다. 사이트로 접속해 Fix it 파일을 실행하면 되지만, 정식 보안패치가 발표되면 다시 접속해 ‘해결방법 사용안함 Fix it’을 재설정해야 한다.

[호애진 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>