작년부터 금융 기관 노린 해커 집단, 빠르게 변신하는 것으로 유명
사용자가 패치를 빨리 적용하면 당할 일 없어

[보안뉴스 문가용 기자] 얼마 전 MS는 17년이나 된 취약점을 패치한 적이 있다. 자세한 사항은 본지의 “MS 패치 튜즈데이, 17년 된 취약점도 패치”라는 기사를 통해 확인이 가능하다. MS 오피스에서 발견된 CVE-2017-11882 취약점으로 2000년 11월 9일부터 존재해왔다고 한다.

11월 패치 튜즈데이를 통해 이 취약점에 종말이 고해지는 듯 했으나, 코발트(Cobalt)라는 유명 해킹 그룹이 이 취약점을 실제 공격에 활용하면서 다시 ‘살아있는 문제’로 급부상했다. 이는 보안 업체 리버싱랩스(ReversingLabs)에서 우연히 악성 RTF 문서를 하나 발견함으로써 세상에 드러났다.

이는 예견된 일이기도 했다. 이 취약점은 최신 윈도우에 최신 패치를 적용해도 고쳐지지 않는 것이기 때문에 공격자 입장에서는 ‘가능성을 활짝 열어주는’ 대문과 같은 존재이기 때문이다. 게다가 이 취약점이 17년이나 존재해왔다는 보도와 함께 개념증명 역시 금방 공개돼 해커들로서는 특별히 연구와 고민을 거듭할 필요가 없어졌다. 게다가 코발트는 적응과 변신이 매우 빠른 집단으로 알려져 있기도 하다.

코발트는 2016년에 처음 언급되기 시작한 해킹 단체로 돈을 목적으로 움직인다. 그러므로 주요 공격 대상은 은행, 금융 기관, 환전소, 보험 회사, 투자 기업 등이었다. 악성 문서 파일이나 ZIP 파일이 첨부된 피싱 이메일 공격을 즐겨 사용했으며, 불특정 다수를 겨냥한 공격을 펼쳐 피해자를 최대한 많이 만드는 패턴을 보여왔다.

또한 올해 초에는 CVE-2017-0199라는 취약점을 익스플로잇하고 있는 것이 발견되기도 했다. 원래는 동유럽과 중앙 아시아, 동남 아시아 지역에서만 활동하다가 올해부터 북미로 무대를 넓혔으며, 공급망 공격도 종종 활용하는 것이 목격되기도 했다.

얼마 전에는 은행 고객 한 사람 한 사람이 아니라 아예 은행 자체를 노리는 공격을 시작하기도 했다. 당시 익스플로잇 되던 취약점은 CVE-2017-8759로, MS .NET 프레임워크에서 발견된 원격 코드 실행 및 주입 취약점이다.

리버싱랩스가 발견한 악성 RTF 문서의 기능은 원격 서버에 접속해 1단계 페이로드를 다운로드 받는 것이었다. MSHTA.exe라는 실행파일이 다운로드 및 실행의 트리거 역할을 수행한다. 다운로드 된 페이로드는 스크립트 파일로 최종 페이로드를 다운로드 받고 실행시킨다.

이 페이로드는 공격자가 원격에서 명령을 실행할 수 있도록 해주는 기능을 가지고 있다. 리버싱랩스는 “이 최종 페이로드가 코발트가 자주 사용하는 백도어로 보인다”고 분석했다. 윈도우 패치가 아니라 MS 오피스의 최신 패치를 사용자가 반드시 적용해야 하는 문제이다.

이제 유명 소프트웨어의 경우 패치가 발표되는 속도는 해커를 어느 정도 따라잡은 것으로 보인다. 하지만 사용자가 패치를 적용하는 속도는 여전히 느리다. 사용자의 패치 적용 속도가 빨라지면 코발트와 같은 단체가 설 자리는 좁아질 수밖에 없다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>