HAURI

전체메뉴 열기

Boan News

보안뉴스 매체사 기사

보안매체 기사

오피스 365의 취약점 통해 ZWSP 삽입하는 피싱 공격
등록일 :
2019.01.14
사용자가 보는 것과 브라우저가 보는 것 다르다는 점 악용
URL 중간에 ZWSP 넣으면 사람 눈엔 링크, 브라우저에는 URL 아냐


[보안뉴스 문가용 기자] 오피스 365에서 발견된 취약점을 활용하면 자체 피싱 공격 보호 장치를 우회해 악성 메시지를 피해자에게 전달할 수 있다고 한다. 다행히 이 취약점은 최근에 패치됐다.

[이미지 = iclickart]


클라우드 보안 전문 업체인 아바난(Avanan)에 의하면, 이 취약점을 악용할 경우 이메일의 로 HTML(RAW HTML) 내 악성 URL의 한 중간에 ‘폭이 0인 공백(ZWSP)’을 삽입할 수 있게 된다고 한다. 이렇게 할 경우 URL이 망가지기 때문에 MS가 탑재한 악성 이메일 탐지 장치들이 작동하지 않게 된다. 세이프 링크(Safe Link)가 발동되는 것도 막을 수 있다고 한다.

게다가 ZWSP는 렌더링을 하지 않는다. 즉, 이메일을 받는 사람이 URL 중간에 있는 무작위 특수 문자들을 전혀 알아채지 못한다. 오피스 365의 취약점과 그것을 남용한 이메일 공격이 처음 발견된 건 작년 11월 10일의 일이다. MS는 이 문제를 보고 받고 1월 9일에 패치를 배포했다.

패치 이전, 이 문제 때문에 오피스 365 사용자 전부가 피싱 공격에 노출됐다. MS 오피스 365 고급 위협 보호(Advanced Threat Protection)을 사용하는 사람들도 예외는 아니었다. URL 명성 확인과 세이프 링크 모두 무용지물이었다.

아바난의 보안 전문가들은 “많은 해커들이 ZWSP를 사용해 피싱 이메일 링크를 숨기고 있다는 걸 발견한 후 추적을 통해 오피스 365의 취약점을 찾아낼 수 있었다”고 설명한다. “오피스 365 시큐리티(Office 365 Security)와 오피스 365 ATP(Office 365 ATP)를 우회할 수 있다는 것에서 큰 힌트를 얻었습니다.”

아바난은 “ZWSP란 폭의 값이 0인 공간으로, ‘빈 공간’과 거의 동일하다”고 설명한다. “ZWSP에는 5개의 종류가 있습니다. Zero-Width Space인 ​, Zero-Width Non-Joiner인 ‌, Zero-Width Joiner인 ‍, Zero-Widgh No-Break Space인 , Full-Width Digit Zero인 0입니다.”

이 ZWSP들은 HTML 포맷에서 단어와 URL 사이사이에 섞여 들어간 특수 문자와 숫자의 조합처럼 보인다. 하지만 그 HTML을 브라우저에서 렌더링 할 때는 그런 모양이 아니다. 그러므로 브라우저에서는(사용자의 시각에서는) URL이 정상으로 보인다. HTML에서는 정말 희한한 URL처럼 보이는데 말이다.

ZWSP는 인터넷에서 매일처럼 사용되는 것 중 하나이기도 하다. “기사나 문서에 디지털 지문을 남길 때, 외국어에 서식 작업을 할 때, 문단 맨 끝에 걸치는 긴 단어들을 자르고 다음 줄로 넘길 때 등 매일 같이 사용되는 요소입니다.”

아바난은 최근 발견된 오피스 365 피싱 공격과 관련하여 “‌인 Zero-Width Non-Joiner가 악성 URL 중간에 삽입되어 있었다”고 설명한다. “하지만 이 특수 문자들은 HTML 편집기에서만 보입니다. 이메일 처리 시스템도 URL로서 처리하지 못하죠. URL이 없어지는 겁니다. 그러니 보호 장치가 시동도 걸리지 않고요.”

하지만 눈에는 정상 링크처럼 보이는 걸 사용자가 클릭하면 어떻게 될까? “체이스 뱅크(Chase Bank)를 흉내 낸 피싱 사이트로 안내됩니다. 거기서 크리덴셜 수집을 당하고요.” 아바난은 이 공격을 지와습(Z-WASP)이라고 부른다. “이전에도 URL을 href 태그와 기본 요소로 분리하거나, 폰트 크기가 0인 글자를 중간에 넣는 제로폰트(ZeroFont) 공격이 있었습니다. 이번에 발견된 지와습은 그런 공격의 진화된 형태라고 볼 수 있습니다.”

3줄 요약
1. 크기가 0인 공간을 URL 중간에 삽입하여, 악성 URL을 막는 장치들을 눈 멀게 만드는 공격 발견.
2. 오피스 365의 취약점을 통해 실제 피싱 공격이 실행되고 있었음. 패치 다행히 나옴.
3. 이전의 제로폰트 공격이 발전된 것. 브라우저와 사람의 시각 차이를 활용한 공격.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  • - 본 정보에 대한 저작권은 '보안뉴스'에게 있으며 이에 무단 사용 및 재배포를 금지합니다.
  • - 본 정보에 대한 이용문의는 "보안뉴스(www.boannews.com)"로 문의하여 주십시오.

Top