[악성코드, 이렇게 움직인다#2]틈새로 공격한다. 제로데이 취약점 공격

2-2. 제로데이(0-day) 취약점 공격

 

취약점은 악성코드들이 전파를 위해 사용하는 중요한 수단이기 때문에 취약점을 통한 악성코드 전파위협은 과거로부터 충분히 인식되어 왔다. 특히, 제로데이(0-day) 취약점은 예방과 방어책이 아직 존재하지 않기 때문에 공격자에게는 전파 성공률과 확산을 높이는 더할나위없이 좋은 환경을 제공한다.

올해에는 유난히 다수의 제로데이 취약점이 발표되었고, 이를 악용한 많은 악성코드 배포사례들도 보고되었다. 올해 MS사의 보안권고문(MS Security Advisory)을 통해 공식적으로 발표된 제로데이 취약점은 대략 20여개 정도이고, 이 외에 기타 애플리케이션에서도 다수의 제로데이 취약점들이 발표되었다.

다음은 (주)안철수연구소 ASEC 보안권고문을 통해 제공된 대표적인 제로데이 취약점들이다.

<표> 2009년 대표적인 제로데이 취약점

제로데이 취약점을 이용한 공격 방법은 크게 다음과 같이 분류해 볼 수 있다.

 ■ 직접 근접 시스템의 취약점을 검색하여 전파하는 방법 (ex. 컨피커웜-MS08-067)
 ■ 사회적 이슈와 결합된 사회공학적 기법(ex. 주요 파일기반 취약점)
 ■ 웹 공격툴킷(Web Exploit Tookit)을 이용한 웹 공격(ex. IE 취약점, ActiveX 취약점..)

특히, ActiveX, 인터넷익스플로러(IE), PDF 관련 제로데이 취약점들은 비교적 손쉽게 공격코드제작이 가능하고 사용자층도 방대하기 때문에, 짧은 시간에 다량의 악성코드를 배포하기 위해 매우 효과적이다.

2009년에 발생한 대표적인 제로데이 취약점 공격 사례를 살펴보자.

지난 7월 MS09-032 DirectShow MPEG2TuneRequest 제로데이 취약점은 취약점이 공개적으로 알려지지 않은 시점에서 중국으로부터 시작된 실제 웹 침해공격을 통해서 취약점이 파악된 사례이다. 당시 이미 중국에서 제작된 다수의 취약점 자동생성툴이 공공연하게 공유되기도 하였다.
 

<그림> MS09-032 DirectShow MPEG2TuneRequest 제로데이 취약점 자동생성툴

많은 국내 침해된 웹사이트에서도 해당 취약점과 연결된 공격 페이지들이 발견되었고,  취약점을 통해 루트킷, 트로잔 기능을 갖는 다수의 악성코드가 배포되었다.

 

 <그림> 실제 국내 웹 침해사례

 

또한, 4월에 보고된 MS09-017 MS Office PowerPoint 코드 실행 취약점(KB969136)은 5월 정기패치(MS09-017)가 발표되기 전에 이미 해당 취약점을 이용한 악성코드가 배포되었고, 6월에는 “에어프랑스 447편 추락” 사건을 이용한 전자메일 전파로 더 큰 이슈가 되기도 하였다.

신규 취약점이 발견하면 제품벤더와의 공조를 통해 취약점을 보완할 수 있는 공식 보안패치가 제공한 이후 발견자의 필요에 의해 공격코드(PoC)를 공개하는 것이 원칙이다. 행여 공격코드(PoC)가 보안패치 제공 이전에 공개되더라도 실제 악용단계가 아닌 경우, 보안 전문가들도 이들 정보를 신속하게 수집, 제품에 적용함으로써 보안패치 제공전(0-day 상황)에도 사용자를 안전하게 보호할 수 있는 방안을 제시할 수 있었다. 그러나, 최근 공격자들의 성향이 금전적 목적으로 바뀌면서 발견한 취약점을 음성적으로 판매하거나 직접 취약점을 이용한 공격을 수행하는 쪽으로 전환되고 있다. 따라서, 얼마나 많은 취약점들이 언더그라운드에서 이용되고 있는지 정확히 알 수 없으며, 공격이 이용되기 전 사전예방을 위한 조치를 취하는 것도 점점 어려워져 가고 있다.

따라서, 많은 보안 전문가들도 취약점 정보에 대한 발빠른 수집과 대응 뿐만 아니라, 제로데이 취약점 자체의 의존성을 벗어나고자, 버퍼오버플로우, 힙스프레이(Heap-Spray) 기법과 같은 공통적 악성행위를 기반으로 탐지율을 높이는 방향으로 전환하고 있다.@

 

※  본 원고의 저작권은 한국인터넷진흥원(KISA)과 안철수연구소 시큐리티대응센터(ASEC)에 있습니다.