자바 취약점 악용...IE 8 이전 버전 사용자 클릭시 좀비PC 될 수도

[보안뉴스 권 준] 11일 일부 대형 커뮤니티 사이트에 올라온 ‘웃긴 연예인 사인 모음’이라는 게시물 내에 악성코드가 숨겨져 있는 것으로 드러나 해당 게시물을 클릭한 이용자들의 악성코드 감염이 우려되고 있다.

특히, 악성코드가 은닉된 ‘웃긴 연예인 사인 모음’의 경우 일부 커뮤니티 사이트에선 조회수가 폭발적으로 늘어나 해당 게시물을 열어본 네티즌들의 큰 피해가 예상된다.  

‘웃긴 연예인 사인 모음’ 게시물에 숨겨진 악성코드는 오라클 자바(JAVA)의 JRE 취약점인 ‘CVE-2012-4681’를 악용한 것으로, 해당 취약점은 지난해 8월 패치가 되지 않은 제로데이 취약점 상태로 발견돼 큰 피해를 야기한 바 있으며, 현재는 패치가 완료된 상황이다.

그러나 심각한 것은 자바 취약점의 경우 PC 사용자들의 보안업데이트 비율이 현저히 떨어지는 것으로 나타나 적지 않은 이용자가 악성코드에 감염됐을 가능성이 높다는 것.

더욱이 이번에 ‘웃긴 연예인 사인 모음’ 게시물을 올린 공격자의 IP 주소가 본지가 지난해 11월 16일자(‘오늘의 유머’ 사이트에서 웃음 대신 좀비PC 얻다!)로 보도한 바 있는 ‘오늘의 유머’ 사이트에 올라왔던 악성코드 은닉 게시물의 IP 주소와 유사한 것으로 확인됐다는 점이다. 

이는 사이버범죄자들이 대규모 사이버공격을 위한 좀비PC 확보용으로 대형 커뮤니티 사이트 게시판을 악용하고 있다고 추측할 수 있는 대목이다.

이번 게시물의 문제점을 본지에 알려온 제보자는 “지난해 11월 당시에 오유 사이트에 악성코드 은닉 게시물을 올렸던 동일한 IP 주소로 다른 커뮤니티 사이트에도 악성코드가 숨겨진 게시물이 올라간 것을 확인했었다”며, “1월 11일 올라온 게시물의 경우도 당시 IP 주소와 끝자리만 다를 뿐 앞부분이 동일하다”고 밝혔다.

덧붙여 그는 “현재 인터넷 익스플로러 8.0 이상으로 해당 글에 접속을 시도했을 때는 ‘악의적인 추가 기능 때문에 접속이 차단됐다’는 메시지가 뜬다”면서도 “8.0 이전 버전 사용자가 자바 보안업데이트가 제대로 이뤄지지 않은 상태에서 해당 게시물을 클릭했을 경우 악성코드가 컴퓨터에 다운로드된다”고 우려했다. 

현재는 대부분의 커뮤니티 사이트에서 해당 게시물이 삭제된 상황이다. 그러나 이미 ‘웃긴 연예인 사인 모음’이라는 게시물을 클릭한 이용자가 수십만 명에 이를 것으로 판단된다. 이에 본인의 PC가 좀비PC가 되지 않으려면 유사한 제목의 게시물을 클릭했다고 판단될 경우 지금 즉시 PC 보안검사와 함께 자바 보안업데이트를 수행해야 한다. 

[권 준 기자(editor@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>