• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

APT28, 제로데이 취약점 이용해 공격 늘렸다 2017.05.12

MS 제로데이 취약점 이용한 사이버 공격 세 가지 보고돼
APT28과 털라(Turla)는 스파이 목적, 다른 그룹은 금전 목적 추정

[보안뉴스 오다인 기자] 제로데이 익스플로잇이 발견된다는 건 보안 업계에 있어 굉장한 소식이긴 하지만, 실제 현장에서 빈번하게 발견되는 건 아니다. 그래서 공격자가 일개 기업 네트워크를 뚫기 위해 제로데이 취약점까지 필요하지 않은 것이 보통이다. 그 때문에 방어하는 입장에서도 제로데이까지 고려해 대비책을 마련하지는 않는다. 그런데 이 균형이 최근 들어 깨지고 있다는 소식이다. 최근 유럽과 중동 지역에서 정부 및 군사, 은행 기관 등을 겨냥해 몰아친 익스플로잇 활동에 제로데이 취약점이 적극 익스플로잇 되었다고 한다.

보안업체 ESET과 파이어아이(FireEye)는 각각 이번 주, MS 제로데이 취약점 세 가지를 활용한 사이버 공격과 관련된 보고서를 발표했다. 그 중 두 가지 취약점은 MS 오피스의 EPS(Encapsulated PostScript) 기능에 있는 것이었고, 다른 한 가지는 윈도우의 권한 상승 취약점인 것으로 나타났다. (이에 MS는 이번 주 진행된 5월 보안 업데이트에서 상기 세 가지 사항을 모두 다뤘다고 밝혔다.)

파이어아이는 보고서를 통해, 공격에 사용된 세 가지 취약점이 정체불명의 한 그룹을 포함, 러시아 사이버 스파이 그룹으로 알려진 APT28 및 털라(Turla)에 의해 이용됐다고 발표했다. 정체불명의 그룹은 금전적인 목적을 갖고 움직인 것으로 추정되며, 중동에서 운영되는 지역 은행 및 국제 은행을 주로 노린 것으로 드러났다. APT28과 털라는 유럽 내 특정 대상들로부터 지정학적 첩보를 빼내려는 목적을 가지고 공격한 것으로 보인다.

ⓒ iclickart


털라와 정체불명 그룹의 공격은 CVE-2017-0261을 이용한 것이었다. 이는 EPS와 관련이 있는 원거리 코드 실행 취약점으로, 공격자가 취약한 시스템 상에서 관리자 접근권한을 얻도록 한다. MS에 따르면, 이 EPS 취약점은 사용자가 악성 이미지(malformed image)가 삽입된 오피스 파일을 열게 하거나 그런 이미지를 오피스 파일에 삽입하도록 만드는 수법으로 익스플로잇이 가능하다고 한다.

한편 APT28 그룹의 공격은 두 가지 제로데이 취약점을 익스플로잇 했다. 하나는 CVE-2017-0262이고 다른 하나는 CVE-2017-0263이다. 전자는 앞서 언급한 CVE-2017-0261과 거의 동일한 원격 코드 실행 취약점이고, 후자는 윈도우의 권한 상승 취약점이다.

APT28은 두 가지 제로데이 취약점을 이용함으로써 세드업로더(Seduploader)를 심고자 했는데, 세드업로더는 APT28이 특정 대상으로부터 기밀정보를 빼낼 때 사용하는 것으로 잘 알려진 정찰 도구라고 ESET은 자사 블로그에서 밝혔다.

파이어아이의 보안 분석가인 벤자민 리드(Benjamin Read)는 이러한 현상에 대해 두 가지 해석을 내놓았다. “하나는 금전적인 동기를 가진 사이버 범죄자들과 사이버전을 수행하는 해킹 단체의 구분이 희미해졌다는 것이고, 또 다른 하나는 러시아의 사이버전 해킹 부대들이 제로데이 취약점을 혼합해 사용할 정도로 고도화된 기술을 보유하고 있다는 겁니다.”

ESET의 멀웨어 연구원 마크 에티엔느 레베이예(Marc-Etienne Leveille)는 “2015년부터 APT28 그룹이 적어도 12개의 제로데이 익스플로잇을 사용한 것을 지켜봤다”고 말하며 “2015년에 6개, 2016년에 4개, 그리고 2017년 현재까지 2개”라고 설명했다.

소파시(Sofacy), 팬시베어(Fancy Bear), 세드닛(Sednit) 등의 이름으로 알려진 APT28 그룹은 10년 넘게 활동해오고 있기 때문에 실제 제로데이를 활용한 공격의 수는 훨씬 더 클 것으로 보인다. APT28은 지난 해 미국 민주당 전국위원회(DNC: Democratic National Committee)에 대한 공격에 가담한 것으로 추정되며, 미국 대선에 러시아가 개입했다는 데 대한 증거로 언급돼왔다. 가장 최근에는 에마뉘엘 마크롱(Emmanuel Macron) 프랑스 대통령 당선자의 선거 캠페인과 관련된 이메일 해킹 시도 배경에 APT28이 있는 게 아니냐는 의심도 나오고 있다.

“지난 수년 간 그들이 사용한 제로데이 양을 볼 때, APT28은 고도로 숙련된 사람들이거나 이런 트렌드를 따라갈 만큼의 충분한 자산을 보유한 것으로 추정됩니다.” 레베이예는 덧붙였다.

ESET은 APT28이 가장 최근 캠페인에서 사용한 두 가지 취약점과 같은 제로데이가 다크넷 시장에서 얼마에 거래되는지에 대해선 아는 바 없다고 밝혔다. 그러나 제로데이 유통 플랫폼이자 미국의 보안업체인 제로디움(Zerodium)에서 거래되는 가격에 근거해 추정해볼 때, 두 가지 익스플로잇을 합한 가격은 약 7천만 원에 달할 것으로 보인다. 레베이예는 “그만큼 제로데이 익스플로잇을 찾거나 만드는 건 쉽지 않은 일”이라고 말했다.
[국제부 오다인 기자(boan2@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>