[보안뉴스 정규문] 지능형 사이버 공격(APT) 및 데이터 유출 보안 분야의 글로벌 선도 기업인 웹센스(Websense)는 프랑스 항공우주산업협회(French Aerospace Industries Association, GIFAS)를 겨냥한 제로 데이 공격을 탐지했다고 밝혔다.

웹센스 보안 연구소는 당초 알려진 것보다 3주 전인 2014년 1월 20일부터 CVE-2014-0322 취약점 공격(Exploit)를 이용한 Microsoft Internet Explorer 10 제로 데이 공격이 발생한 것을 확인했다. CVE-2014-0322 취약점 공격은 다음의 URL(hxxp://gifas.assso.net)에서 호스팅 및 실행된 것으로 나타났다.

hxxp://gifas.assso.net은 프랑스 항공우주산업협회 웹사이트 주소인 hxxp://gifas.asso.fr을 모방해 만든 가짜 사이트이다. 프랑스 항공우주산업협회는 대형 주계약업체 및 시스템 공급업체, 소규모 전문 업체 등 300여 이상의 회원사를 보유하고 있다. 이 협회는 민간 및 군용 항공기와 헬리콥터 엔진, 미사일 및 무기류, 위성 및 발사체, 항공우주, 방위 및 보안 관련 주요 시스템, 장비, 부속품 및 관련 소프트웨어 등으로 활동 영역을 확대하고 있다. 이처럼 매우 유사한 도메인 이름을 사용한 것으로 프랑스 항공우주협회가 공격 목표라는 것을 짐작할 수 있지만, 아직 이 도메인을 통한 공격은 관찰되지 않았다.

CVE-2014-0322 취약점 공격은 미국의 서버에서 호스트되었다. 지난 1월 20일, 악성 Shockwave Flash (Tope.swf SHA: 910de05e0113c167ba3878f73c64d55e5a2aff9a)가 바이러스토탈(VirusTotal)에 업로드 되었으나 이러한 움직임은 익스플로이트를 방지할 백신 프로그램이 있는지를 확인하기 위함으로 보였다. 당시에 이 공격에 대한 어떤 단서도 포착하지 못했다. 이번에 확인된 취약점 공격은 메모리 내(in memory) 공격 방식이며 백신 제품을 우회하기 위하여 파일 쓰기 작업도 수행하지 않는다. 초기 분석 결과에 따르면 이번 공격이 DeputyDog 및 EphemeralHydra 그룹과 연관된 것으로 나타났다.

웹센스의 대표 보안 연구원인 제이슨 힐(Jason Hill)은 “이번에 발견된 취약점 공격은 사용된 도메인 이름이 상당 부분 비슷한 점에 미루어 프랑스 우주항공산업 협회와 관련된 조직을 공격 대상으로 삼고 있는 것으로 보인다”며 “유명 상표 및 상호와 유사한 도메인을 등록하는 일반적인 타이포스쿼트(typosquat)들과 달리, 악의적인 의도를 가진 공격자들은 기존의 URL에 글자를 추가하거나 순서를 바꾸어 놓고 누군가 이를 잘못 입력할 때까지 기다리며 유인으로서 사용하기 위해 만든 것으로 보인다. GIFAS는 우주항공 및 방위 등을 비롯한 업계에서 300여 이상의 회원사를 보유하고 있다. 기업들은 공격의 초기 단계에서 막아내는 방어 체계를 확보하는 것은 물론, 만일 교묘한 신종 위협에 의해 이 방어선이 뚫리더라도 다층적 보안 방어 체계를 구축하여 지적 자산의 유출을 탐지 및 차단해야 한다”라고 말했다.

한편, 웹센스는 Microsoft Internet Explorer 10 사용자들이 Internet Explorer 11로 업그레이드할 것을 권고한다. 또한 이번 공격은 Microsoft의 EMET(Enhanced Mitigation Experience Toolkit)의 존재 여부를 확인하는 것으로 밝혀졌다. 이것이 발견되면, 취약점 공격의 시도가 중단된다. EMET를 구축하는 방법에 대한 보다 자세한 내용은 Microsoft의 개요와 EMET 지식 베이스 자료에서 확인할 수 있다.

[정규문 기자(kmj@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>