웹 ActiveX 모듈 업데이트 하려다 악성코드 감염돼
우리나라 공인인증체계 및 ActiveX 시스템의 대수술 필요 

[보안뉴스 특별취재팀] 지난 3월 20일 국내 주요 방송사와 금융사 6곳의 전산망 마비를 일으킨 ‘3·20 사이버테러’가 북한 정찰총국 소행인 것으로 드러나면서 본지가 지난 9일 단독 보도를 통해 밝힌 공격수법과 주체, 그리고 내부 침입경로에 대한 구체적인 시나리오가 사실임이 입증됐다.

북한은 이번 공격에서 국내 소프트웨어의 웹  ActiveX 모듈을 악성코드의 주요 유포통로로 이용한 것으로 드러났다.

즉, 북한의 해커조직은 웹서버를 해킹해 악성코드를 심어놓고 웹사이트의 방문자가 업데이트하도록 실행되는 ActiveX의 다운로드 경로를 변조했다. 특히, 웹 ActiveX 모듈의 업데이트 기능을  활용해 파일경로를 변조하고 방문자가 접속해 업데이트 실행 시 악성코드에 감염되도록 했다.

웹 ActiveX 모듈을 사용하는 피해기관의 중앙관리 서버 관리자의 ID, PW가 유출되어 지난해 6월부터 이를 이용해 여러 차례 해당 기관으로 악성코드가 침투한 것. 

이용자들은 웹 ActiveX 모듈을 업데이트한 것이지만 결과적으로는 해킹 프로그램을 설치한 꼴이 된 셈이다.  

결국 우리나라 인터넷 환경에서의 고질적인 문제점이자 보안위협이 높은 ‘ActiveX’의 설치를 강요했던 것이 이번 사건에 악용됐다. 북한 해커조직은 이러한 국내 상황을 잘 알고 그 취약점을 노려 지속적으로 공격해온 게 확인된 것이다.

이와 관련 한 제보자는 “ActiveX를 만든 마이크로소프트조차 포기하고 ActiveX 혹은 악성프로그램 등이 시스템을 변경하는 것을 막기 위해 윈도우7은 함부로 프로그램을 설치하지 못하도록 해놓았다. 하지만 우리나라 정부는 IE를 ‘관리자 권한’으로 실행할 것으로 권고하고 있다”고 말했다.

덧붙여 그는 “우리나라 정부기관과 은행사이트에 접속할 때마다 설치해야 하는 ActiveX에 대해서 윈도우에서는 ‘이 프로그램이 시스템을 변경하려고 합니다. 그래도 설치하겠습니까?’라고 물어본다. 이는 사실상 개인 PC 해킹을 위한 길을 직접 열어주고 있는 것과 마찬가지”라고 강조했다.

현재까지 우리나라 공인인증체계의 문제점에 대해서는 그동안 많은 지적이 있었다. 이에 공인인증서의 보안기능을 강화하기 위해 플러그인(Plug-in) 없는 공인인증서 개발 등이 진행되기도 했으나 상용화되지는 못했다.

이러한 상황에서 우리나라에서 ‘ActiveX’ 퇴출은 아직도 멀었다. 지난해 정부 발표에 따르면 국내 주요 웹사이트의 84%가 ActiveX를 사용 중이며, 민간·공공 분야 주요 200대 웹사이트 중 168곳에서도 여전히 ActiveX를 사용하고 있는 것으로 나타났다. 특히, 민간은 전자결제에 41%, 행정기관은 보안에 40%에 집중되고 있어 이에 대한 대책마련이 시급하다.

[보안뉴스 특별취재팀(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>