[보안뉴스 호애진] 마이크로소프트(MS)는 8일(현지시각) 7건에 대한 정기 보안 업데이트를 발표할 예정이라고 밝혔다.

그러나 7건 중에서 최근 워터링홀(Watering hole) 공격에 이용된 제로데이 취약점에 대한 보안 업데이트는 포함되지 않은 것으로 알려져 이에 대한 우려가 제기되고 있다.

이 제로데이 취약점은 美 외교자문위원회의 웹사이트 방문자를 타깃으로 한 워터링홀 공격에 이용되면서 처음 알려지게 됐다. 이후 중국 인권 단체,캡스톤 터빈(Capstone Turbine Corp.) 등 수많은 웹사이트가 해당 공격을 받았다.

시만텍은 이번 공격에 ┖엘더우드 갱(Elderwood gang)┖이라는 해커 집단이 연계돼 있다고 밝혔다. 이들은 중국 정부를 위해 일하고 있으며, 기업 비밀과 같은 정보 및 지적재산권을 훔치는 데 주력하고 있는 것으로 알려져 있다. 특히, 미국에 위치한 수많은 기업들을 타깃으로 하고 있다.

시만텍에 따르면, 엘더우드 갱은 수많은 제로데이 취약점을 확보하고 있고, 이들을 이용해 공격을 감행한다. 지금까지 최소 8개의 제로데이 취약점을 이용해 공격을 감행해온 것으로 파악됐는데, 이는 4개의 제로데이 취약점을 이용해 이목을 집중시켰던 스턱스넷만큼이나 놀라운 기록이다. 또 힙 스프레이(Heap spray) 기법을 사용한 점 등으로 미뤄 이번 워터링홀 공격의 배후로 이들을 지목하고 있다.

이번 공격이 국내를 포함한 전 세계에서 발생하고 있고, 이에 대해 여러 분석이 나오고 있지만, 정작 해당 제로데이 취약점에 대한 보안 패치는 아직 나오지 않고 있다. 더욱이 MS가 권고한 임시조치법(http://support.microsoft.com/kb/2794220)이 안전하지만은 않다는 주장이 제기돼 파장을 가져 왔다.

보안업체 엑소더스 인텔리전스(Exodus Intelligence)의 보안전문가들이 임시조치법을 우회할 수 있는 익스플로잇을 만들어 보인 것. 이들은 임시조치법이 공격을 얼만큼 막을 수 있는지에 대해 연구하기 했고, 그 결과 이를 우회할 수 있는 방법을 알아냈다.

현재 MS에 관련 정보를 제공했고, 해당 문제를 해결한 보안 업데이트가 제공되기 전까지 이를 공개하지 않기로 했다. 하지만, 이들이 알게 된 것을 공격자들도 알게 되는 것은 시간 문제일 뿐이다.

[호애진 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>