• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

디시인사이드, IE 제로데이 공격 테스트 장소 전락? 2013.01.07

5일 IE 제로데이 공격 이어 6일에도...지난해 12월에 이어 세 번째

빛스캔 “패치 발표 전이라 더욱 심각...국내 상황 이젠 경고 단계로”  


[보안뉴스 권 준] 최근 MS의 인터넷 익스플로러(IE) 브라우저 6, 7, 8 모든 버전에 영향을 미치는 제로데이 취약점을 악용한 공격이 국내에도 발생한 정황이 포착된 데 이어 이번에는 대형 커뮤니티 사이트인 디시인사이드의 커뮤니티(gall.dcinside.com)에서도 제로데이 공격이 발생해 국내 웹사이트 보안에 비상등이 켜졌다.

1월 5일 1차 제로데이 악성코드 공격 정황이 포착된 디시인사이드 커뮤니티 사이트(gall.dcinside.com) 화면


지난해 12월 26일 국내 웹사이트를 대상으로 한 최초의 공격이 발견된 데 이어 지난 1월 5일 디시인사이드를 대상으로 모든 방문자에 대해 패치가 없는 제로데이 공격이 추가로 발생된 것이 악성코드 유포 모니터링·탐지 전문기업 빛스캔의 PCDS를 통해 탐지된 것이다.


디시인사이드에 대한 최초 공격은 1월 5일 밤 11시경에 발견됐으며, 인터넷 익스플로러(IE) 제로데이를 이용한 공격코드가 직접 활용된 것으로 알려졌다. 또한, 국내 사이트를 해킹하여 공격코드를 올려둠으로써 탐지 또는 의심을 회피하려는 의도로 분석됐다. 


이와 관련 빛스캔의 전상훈 이사는 “현재 상태는 공격효과를 판단하기 위해 국내 대형 커뮤니티를 대상으로 효과를 검증하는 단계로 파악된다”며, “하루 정도 제로데이 공격 효과를 관찰하고 난 후, 1월 6일 오후 5시경에는 기존에 적극적으로 활용하던 JAVA 공격세트 5개와 MS XML 취약성인 CVE 2012-1889에 대한 공격코드로 변경된 것을 관찰할 수 있었다”고 밝혔다.

이를 바탕으로 IE 제로데이 취약점을 악용한 대규모 공격이 시작될 수 있다는 추측이 가능하다. 지난 주말 제로데이 공격효과를 지속적으로 관찰하면서 충분한 데이터를 얻은 상황에서 대형 커뮤니티 사이트를 통한 효과 검증 시도는 곧 이어질 대규모 공격을 예상케 한다는 것. 이에 따라 인터넷 위험상황을 위험에서 경고 단계로 높일 필요가 있다는 게 빛스캔 측의 분석이다.


지난 1월 5일 디시인사이드에 대한 1차 제로데이 공격코드 구조는 다음과 같다.


Gall.dcinside.com/list.php(소스코드 내에 onedaynet.co.kr에 기 생성해둔 악성링크 추가)

-     Open.onedaynet.co.kr/xxxxx/ads.js

-     Opne.onedaynet.co.kr/xxxxxx/popup.htm

popup.htm 파일 내의 IE 제로데이 공격코드 내용


1월 5일 디시인사이드 커뮤니티로부터 시작된 제로데이 공격은 일부 방문자들의 백신에 의해 최종 유포된 악성코드 it.moyiza.com/xxxxx/m.exe가 탐지됐을 가능성이 높은 것으로 알려졌다.


이렇듯 공격기법은 탐지되지 않았음에도 악성코드가 탐지됐다는 것은 최종 악성파일은 탐지되는 상태의 악성파일을 공격자가 사용했기 때문이고, 이와 별도로 백신을 우회하는 악성파일을 감염시켰을 경우는 전혀 인지될 수 없는 상황임을 의미하는 것이다.


이에 대해 빛스캔의 전상훈 이사는 “새로운 제로데이 공격에 대한 테스트 이후에 공격자들이 이전의 공격 패턴으로 복귀하는 것이 관찰됐는데, 이는 공격 효과에 대해 충분한 테스트가 끝났다는 것”이라며, “테스트 결과에 따라 공격의 빈도와 영향력은 매우 달라질 수 있다”고 우려했다. 


1월 6일 오후 5시를 넘어 시도된 2차 공격의 경우 기존에 자주 활용하던 JAVA 관련 공격세트와 MS XML 취약성을 공격하는 코드로 변경된 것이 이를 입증한다는 얘기다.   

1월 6일 2차 공격 당시 디시인사이드 메인의 광고링크에 추가된 악성링크의 감염 모습


특히, 위메이크프라이스(WemakePrice)라는 국내 소셜 쇼핑의 광고 코드 내에 악성링크를 추가하는 방식을 사용하여 탐지를 회피한 것을 확인할 수 있다. 이 광고 역시 디시인사이드 커뮤니티 사이트의 메인에 노출되는 광고로 방문 즉시 실행되어 감염되는 형태로 나타났다.


이렇듯 최근 국내 사이트 중에서도 금융사이트와 방문자 비율이 높은 커뮤니티 사이트에 대한 직접적인 공격이 발생된 것은 그만큼 국내 인터넷 환경이 취약하고 위험한 상태임을 반증하는 것이라고 볼 수 있다.


이와 관련 전상훈 이사는 “가뜩이나 인터넷 환경이 취약한 상태에서 IE 제로데이 공격까지 결합되는 상황은 국내 상황이 위험을 지나 경고 단계에 접어들었다는 것”이라며, “국내 주요 전자상거래 환경은 IE 6,7,8 버전이 주를 이루고 있어 현재 시점에서 피해를 예방하기 위해서는 IE 9 이상의 버전으로 업데이트가 필요하다. 그럼에도 반드시 하위 버전을 사용해야 할 기업이나 기관의 경우는 MS에서 발표된 Fix-it을 서둘러 적용해야 한다”고 당부했다. 

[권 준 기자(editor@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>