일부만 겨냥한 표적형 공격...CVE-2018-4879이라는 제로데이도 활용
국가가 지원한 해커일 가능성 높아...라자루스 의심되지만 특정짓기 어려워

[보안뉴스 문가용 기자] 대한민국의 일부 사용자들을 노린 사이버 범죄에 어도비 플래시의 취약점이 악용되었다는 사실이 드러났고, 이를 어도비도 확인했다.

문제의 취약점은 플래시 플레이어 액티브액스 28.0.0.137 및 이하 버전에서 발견된 제로데이, UaF 취약점으로, CVE-2018-4878이라는 번호를 부여 받았다. 익스플로잇이 성공할 경우 원격에서 코드 실행이 가능하게 된다.


SANS 인터넷 스톰 센터(SANS Internet Storm Center)의 책임자인 요하네스 울리히(Johannes Ullrich)는 “제로데이 익스플로잇인데다가 표적형 공격에 활용되었다는 정황을 미뤄봤을 때 국가를 등에 업고 활동하는 해커들의 소행일 가능성이 높아 보인다”고 분석했다.

“공격의 대상은 북한을 연구하는 소수의 개인들이었습니다. 다른 단체나 조직이 아니고 북한을 연구하는 사람들 중 일부만 노리고 공격한 것이죠. 사이버전 부대의 전형적인 행위입니다. 누가 북한을 연구하는 특정 사람들에게 제로데이 익스플로잇까지 써가며 공격을 하겠습니까? 얼마나 비효율적인데요. 그렇다고 반드시 북한을 특정 짓는 건 아닙니다.”

하지만 한국에서 북한을 연구하는 사이버 전문가들은 북한을 특정 짓는다. 한 전문가는 “11월 중순부터 북한의 제로데이 익스플로잇 행위가 있어왔다”고 개인 SNS를 통해 밝히기도 했다.

보안 업체 피델리스 시큐리티(Fidelis Security)의 위협 시스템 관리자인 존 밤베넥(John Bambenek)은 “이념이나 사상과 상관이 있는 동기로 움직인 공격자가 소수의 표적만을 노려 공격한다는 건 라자루스 그룹(Lazarus Group)의 활동을 의심할 수밖에 없게 만든다”고 말한다. 다만 “기술적으로 이를 확실히 입증하기가 힘들 뿐”이다. “그러나 라자루스 그룹이 제로데이 익스플로잇을 자체적으로 개발, 활용한 사례는 그 동안 없었다는 점도 생각해야 합니다.”

위 플래시 취약점은 윈도우 사용자들을 대상으로 익스플로잇이 되었다. 멀웨어가 뒤섞인 플래시 콘텐츠가 임베드 된 오피스 문서가 첨부된 이메일이 소수 몇 사람에게 배송되었고, 이를 무심코 열었다가 공격에 당한 것이다. “이 공격이 성공하면 피해자는 사실상 시스템에 대한 통제권을 공격자에게 빼앗기게 된다”고 어도비는 설명했다.

아직 이 문제를 해결해주는 패치가 나오지는 않았다. 패치가 나오는 동안 플래시 플레이어 27을 윈도우 7 및 이하 버전에서 사용하는 사람들이 할 수 있는 일이 몇 가지 있다. “플래시 콘텐츠가 인터넷 익스플로러에서 돌아가야 할 때 반드시 사용자에게 허락을 받을 수 있도록 환경설정을 해야 합니다. 오피스에서는 Protected View 모드도 활성화시키는 게 도움이 됩니다.”

위 공격에 활용된 제로데이 취약점이 발견된 제품은 다음과 같다.
1) Adobe Flash Player Desktop Runtime on Windows and Mac
2) Flash Player for Google Chrome on Windows, Mac, Linux, Chrome OS
3) Flash for Microsoft Edge and Internet Explorer 11 on Windows 10 and 8.1
4) Flash Player Desktop Runtime on Linux

[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>