• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

해커들의 관심, 플래시 플레이어에서 MS 제품으로 2018.03.28

사용하는 사람 많은 소프트웨어가 해커들에게 선호돼
MS의 제품군, 가장 많이 공격당한 취약점 상당수 보유

[보안뉴스 문가용 기자] 이제 보안을 걱정하는 기업들이라면 어도비 플래시가 아니라 마이크로소프트 제품을 더 걱정해야 하는 때가 됐다. 보안 기업 레코디드 퓨처(Recorded Future)에 의하면 다크웹에 있는 코드 저장소들에 마이크로소프트의 익스플로잇이 가장 많이 발견되고 있다고 한다.

[이미지 = iclickart]


다크웹에서 공유되고 있는 코드를 분석함으로써 레코디드 퓨처는 “어도비 제품이 아니라 마이크로소프트 제품들이 가장 ‘핫’한 공략거리”라는 걸 찾아냈다는 게 가장 큰 수확이라고 한다. “지난 몇 년 동안 가장 많이 익스플로잇 되는 취약점 10개 중 대부분이 어도비 제품들이었습니다. 이제는 7개가 마이크로소프트 제품에서 나온 취약점입니다.”

2016년 사이버 범죄자들이 가장 많이 익스플로잇한 취약점 10개 중 6개가 실제로 어도비 플래시 하나에서만 나왔다. 2015년은 심지어 8개였다. 어도비 플래시에 대한 흥미가 점점 떨어지는 추세를 읽을 수 있다.

이는 익스플로잇 키트(exploit kit)의 전체적인 하향세와 맞물린 현상이라고 레코디드 퓨처는 분석한다. “2017년 한 해 동안 익스플로잇 키트의 개발은 2016년에 비해 62% 줄었습니다. 활발하게 활동한 것 역시 AK빌더(AKBuilder), 테러(Terror), 디스데인(Disdain) 정도입니다.”

익스플로잇 키트 활동이 줄어드는 이유 중 하나는 사람들이 보다 더 안전한 브라우저를 사용하고 있기 때문이다. 그 외에는 암호화폐를 채굴하는 공격으로 많은 사이버 범죄자들이 돌아서고 있다는 것과, 표적형 공격이 강세를 띔에 따라 익스플로잇 키트의 사용 이유가 떨어졌다는 것이 있다.

한편 2017년 한 해 동안 가장 많이 악용된 취약점은 지난 해 4월에 공개된 MS 오피스의 CVE-2017-0199 취약점인 것으로 나타났다. 이는 공격자들이 원격에서 임의의 코드를 실행할 수 있도록 해주는 취약점이다. 이를 익스플로잇 하는 멀웨어들로는 케르베르(Cerber), 드리덱스(Dridex), 핀피셔(FinFisher), 라텐봇(Latenbot) 등이 있다.

2위는 마이크로소프트의 인터넷 익스플로러에서 나타난 CVE-2016-0189였다. 이 취약점에 대한 익스플로잇 도구는 수많은 키트에 포함되어 있는 것으로 밝혀졌다. 리그(RIG), 선다운(Sundown), 뉴트리노(Neutrino), 테러(Terror) 등 유명세를 탄 익스플로잇 키트에는 대부분 이 취약점에 대한 익스플로잇 도구들이 들어 있다.

놀라울 것도 없지만 사이버 범죄자들이 작년 가장 선호한 취약점 등급은 ‘고위험’ 이상인 것으로 나타났다. 2017년 동안 가장 많이 익스플로잇 된 취약점 10개 중 다섯 개는 위험도 점수 9.3점 이상이었고, 네 개는 7.6점이었다(CVSS 기준). 나머지 하나는 CVE-2017-0022로 마이크로소프트 윈도우에서 발견된 오류이며, 위험도 점수가 4.3점에 불과하다.

레코디드 퓨처는 “사이버 범죄자들은 보통 여러 사람을 한꺼번에 노려서 성공 확률을 높이려고 한다”며 “그러므로 많은 소프트웨어일수록 연구대상이 되는 것이 당연하다”고 설명한다. 실제로 취약점 Top 10 목록을 보면 유명한 소프트웨어에서 발견된 취약점들이 대부분이다. 이는 기업 내에서 패치 순서를 정할 때 사용자 수가 많거나 유명한 소프트웨어를 우선시 해야 한다는 뜻이 된다.

버그바운티 플랫폼인 해커원(HackerOne)의 취약점 공개 관리 책임자인 빌 루미스(Bill Lummis)는 “플래시 플레이어가 가장 많이 익스플로잇 된 이유는, 인터넷 사용자 대부분이 플레이어를 기본적으로 설치해둔 상태였기 때문”이라고 설명한다. “하지만 어도비가 더 이상 플래시를 만들지 않겠다고 함으로써, 공격자들의 흥미가 급격히 떨어지고 있습니다.”

루미스와 레코디드 퓨처는 “익스플로잇 목록은 여러 단체나 업체에서 주기적으로 발표하곤 하는데, 이는 패치 전략을 짜는 데 반드시 참고가 되어야 한다”고 주장한다. “덩치가 큰 조직들일수록 패치가 중대한 일이 됩니다. 그러므로 전략이 필요하죠. 이런 때 이런 목록을 기준 삼으면 많은 도움이 될 것입니다. 공격자들의 공격 행위도 더 어렵게 만들고요.”

레코디드 퓨처가 발표한 자료는 여기(https://go.recordedfuture.com/vulnerability)서 열람이 가능하다.
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>