HAURI

전체메뉴 열기

Boan News

보안뉴스 매체사 기사

보안매체 기사

MS의 인터넷 익스플로러에서 발견된 제로데이, 다크호텔이 활용 중
등록일 :
2020.01.21
소규모 표적 공격에 이미 활용되고 있는 제로데이 취약점...다크호텔 연관돼 있어
MS는 곧 패치 발표한다면서 ‘정기 패치’ 언급해...빠르게 패치 나올 것 같지 않아


[보안뉴스 문가용 기자] 마이크로소프트가 인터넷 익스플로러에서 발견된 제로데이 취약점에 대한 패치를 개발하고 있다고 발표했다. 이 제로데이 취약점은 다크호텔(DarkHotel)이라는 해킹 단체가 실시하고 있는 표적 공격에 활발히 이용되고 있다고 한다.

[이미지 = iclickart]


문제의 제로데이 취약점에는 현재 CVE-2020-0674라는 번호가 붙은 상태다. 메모리를 변형시키는 취약점의 일종으로 알려져 있으며, 인터넷 익스플로러의 스크립팅 엔진에 영향을 준다고 한다. 가장 문제가 되고 있는 건 JScript라는 요소로, jscript.dll이라는 라이브러리 파일 형태로 보관된다.

마이크로소프트에 의하면 이 취약점을 성공적으로 익스플로잇 할 경우 원격 코드 실행이 가능하게 된다고 한다. 공격자는 표적이 된 대상을 꼬드겨 특수하게 조작한 웹사이트에 접속하도록 만들어야 한다. 공격 대상의 권한에 따라 공격자의 권한이 달라지는데, 관리자급 권한을 가진 자에 대한 공격이 성공할 경우, 공격자는 시스템을 장악할 수도 있게 된다.

이 취약점에 영향을 받는 버전은 익스플로러 9, 10, 11이다. 윈도우 7, 8.1, 10, 서버 2008, 서버 2012, 서버 2016, 서버 2019에서 익스플로러가 실행될 때 특히 취약해진다고 한다.

패치가 발표되기 전이므로 마이크로소프트는 위험을 완화시킬 수 있는 방법들을 소개했다. “일부 관리자용 명령어를 입력할 경우 jscript.dll의 접근 권한을 제한할 수 있습니다. 그렇게 한다면 공격자가 jscript.dll을 침해한다고 하더라도 활동 범위에 제약이 걸립니다. 다만 업데이트가 나와 적용한다고 했을 때 이를 다시 원래 상태로 돌려놓아야 합니다.”

마이크로소프트에 이 제로데이 취약점을 알린 건 구글의 위협 분석 그룹(Threat Analysis Group)과 중국의 사이버 보안 업체인 치후360(Qihoo 360)이라고 한다. 이 두 연구 단체는 “해당 취약점이 이미 익스플로잇 되고 있으나, 소규모 표적 공격에서만 제한적으로 활용되고 있다”고 알려왔다.

MS는 보안 권고문을 통해 “이번에 발견된 취약점의 심각성에 대해 인지하고 있으며, 픽스 개발에 주력하고 있다”고 밝혔다. 또한 “MS는 매달 두 번째 화요일에 정기 패치를 통해 업데이트를 발표하는 정책을 가지고 있으며, 이 약속을 매달 지킴으로써 파트너사와 고객사가 보다 나은 윈도우 환경을 유지하는 데 도움을 주고 있다”고 덧붙였다. 전문가들은 이번 취약점 패치가 개발된다 하더라도 다음 달까지 기다려야 할 것 같다고 예상하고 있다.

치후360은 “다크호텔이라는 해킹 단체가 이 취약점을 익스플로잇 하고 있는 중이라는 증거를 찾았다”는 내용의 보고서를 발표하기도 했다. 다크호텔은 한국(북한이 아니라)과 연관성이 높은 것으로 알려진 해킹 단체다. 또한 최근 크롬에서 발견된 제로데이를 익스플로잇 하는 캠페인을 펼치기도 했다.

구글의 위협 분석 그룹에서 이 취약점을 찾아낸 건 클레멘트 르사인(Clément Lecigne)이라는 연구원이라고 한다. 르사인은 트위터를 통해 “언젠가 더 자세한 분석 내용을 공개할 수 있기를 바란다”는 말을 남기기도 했다. 패치가 발표되기 전에 취약점 세부 사항이 공개될 경우 치명적인 결과로 이어질 수 있다는 뜻으로 해석된다.

구글의 위협 분석 그룹은 과거에도 MS 제품에서 여러 취약점을 찾아내 알린 바 있다. 가장 대표적인 것은 CVE-2018-8653, CVE-2019-1367, CVE-2019-0676, CVE-2019-1429, CVE-2019-0808 등이다.

르사인의 트위터 발언이 ‘의미심장한’ 뉘앙스를 남기자 일각에서는 ‘그토록 심각한 문제라면 MS가 윈도우 7 환경에 대한 패치도 개발해 배포할까?’라는 질문을 던지기도 했다. 윈도우 7은 지난 14일 지원이 종료된 바 있다.

서드파티 마이크로패치를 전문으로 하는 보안 기업 제로패치(0patch)의 경우, 이번 주 CVE-2020-0674에 대한 패치를 개발해 배포하겠다고 약속했다. 제로패치에 따르면 “인터넷 익스플로러가 jscript.dll을 로딩하지 못하게 막아주는 픽스를 적용하는 게 가능하다”고 한다.

보안 전문가들은 일반 인터넷 익스플로러 사용자들에게 “패치가 나올 때까지 다른 브라우저를 사용하는 게 가장 안전하다”고 권장한다. 다만 인터넷 익스플로러를 기반으로 한 웹용 소프트웨어가 있다면 이 권고 사항을 들을 수 없게 된다. 그런 경우 비슷한 기능을 수행하는 다른 애플리케이션을 찾는 것이 안전하다.

3줄 요약
1. MS의 IE에서 제로데이 취약점 발견됨.
2. 한국의 해킹 그룹이라고 생각되는 다크호텔이 이미 익스플로잇 하고 있음.
3. MS는 다음 달 정기 패치에나 업데이트를 발표할 모양.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  • - 본 정보에 대한 저작권은 '보안뉴스'에게 있으며 이에 무단 사용 및 재배포를 금지합니다.
  • - 본 정보에 대한 이용문의는 "보안뉴스(www.boannews.com)"로 문의하여 주십시오.

Top