19년 동안 존재해왔던 윈라 라이브러리 내 취약점...얼마 전 공개
패치 나왔으나 사용자들 대부분 적용하지 않아...공격자들의 공격 이어져

[보안뉴스 문가용 기자] 최근 발견되고 패치된 윈라(WinRAR)의 취약점이 이미 여러 사이버 공격 단체들에 의해 악용되고 있다고 한다. 이 중에는 고급 기술을 가지고 있는 APT 그룹들도 포진되어 있다고 한다.


문제의 취약점은 CVE-2018-20250으로, 윈라가 ACE 아카이브를 압축 해제할 때 사용하는 unacev2.dll 라이브러리에서 발견된 것이다. 윈라는 5.70 버전부터 이 라이브러리를 삭제함으로서 악성 행위자가 이 취약점을 공격에 활용하는 것을 막으려 했다. 하지만 아직도 많은 사용자들이 윈라를 업데이트하지 않고 있으며, 따라서 사이버 범죄자들의 다양한 시도가 통하고 있는 상황이다.

윈라의 이 취약점을 성공적으로 익스플로잇 하려면 특수하게 조작된 ACE 아카이브가 필요하다. 그리고 사용자가 이 아카이브의 압축을 원하는 폴더에 해제해야 한다. 이 때 공격자가 따로 폴더를 지정해 악성 파일을 저장할 수 있게 된다. 이 상황을 잘 이용하면 공격자가 임의의 코드를 실행할 수 있게 된다. 또한 원하는 코드를 ‘시작 프로그램’ 폴더에 저장하게 되면 컴퓨터가 시작될 때마다 악성 코드를 실행시킬 수 있게 된다.

이 취약점은 심지어 19년 동안이나 윈라에 존재해왔던 것으로 알려져 있다. 취약점의 세부 내용은 보안 업체 체크포인트(Check Point)가 2월 20일 공개한 바 있다. 그리고 불과 며칠 후 이 취약점을 익스플로잇 하는 기능을 가진 멀웨어가 발견됐다.

보안 업체 맥아피(McAfee)는 자사 블로그를 통해 “윈라의 오래된 취약점이 공개되고서 첫 1주일이 채 지나기도 전에 이 취약점을 겨냥한 익스플로잇을 100개 넘게 찾아냈다”고 밝혔다. 그리고 이 많은 익스플로잇에 정조준 당한 건 일단 미국 내 인물 및 조직들이라고도 설명했다.

맥아피가 발견한 한 공격의 경우, 해커는 아리아나 그란데(Ariana Grande)라는 팝송 가수의 앨범이 들어 있는 것처럼 위장된 ACE 파일을 퍼트리고 있었다. 노래를 듣고 싶은 사용자가 이 파일을 다운로드 받아 압축을 윈라로 해제할 경우, MP3 파일들이 실제로 추출되어 시스템에 저장된다. 하지만 다른 한쪽에서는 악성 파일이 ‘시작 프로그램’ 폴더로 복사됐다.

중국의 보안 업체 치후360(Qihoo 360) 역시 윈라 취약점을 공략하려는 익스플로잇을 발견했다고 밝혔다. 치후360이 발견한 공격의 경우 APT 공격자들의 소행인 것으로 나타났다. “우크라이나와 중동 등을 겨냥한 공격에 취약점이 활용되고 있었습니다. 이 때 UN을 언급한 가짜 문서가 피해자들에게 함께 전파되고 있었습니다.”

한국의 보안 업체 이스트시큐리티(ESTsecurity) 역시 한국의 사용자들을 겨냥한 APT 공격에서 윈라의 취약점이 활용되는 것을 발견했다고 발표했다. 이스트시큐리티에 따르면 “공격자들이 북한의 김정은과 미국의 트럼프 대통령의 하노이 회담을 주제로 한 가짜 문서를 통해 멀웨어를 배포하고 있었다”고 한다.

3줄 요약
1. 전 세계적으로 인기 높은 압축 도구 윈라에서 19년 된 취약점 발견됨.
2. 업데이트 버전 나왔으나 사용자들 대다수가 패치 하지 않음.
3. 공격자들이 이 취약점을 활발하게 사용하기 시작함. APT 공격자들도.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>