올해 상반기 발생한 이니텍 코드서명 인증서 유출에 이은 2차 공격으로 추정
일반 사용자, 당분간 크롬 브라우저 사용하거나 IE ActiveX 비활성화 조치 필요
[보안뉴스 원병철 기자] 인터넷뱅킹과 금융 서비스를 사용하는 거의 모든 사람들이 제로데이 취약점에 노출된 것으로 확인됐다. 금융당국 확인 결과, 정보보안 전문업체 이니텍의 금융보안 모듈 INISAFE Web 액티브X(ActiveX) 컨트롤의 업데이트 기능을 악용한 악성코드 유포행위가 지난 25일 발견됐다. 해당 취약점을 이용해 특정 웹사이트에 접속하면, 북한이 제작한 것으로 추정되는 악성코드를 유포하고 있는 것으로 드러났다.
특히, 해당 모듈은 인터넷뱅킹 등에서 웹 암호통신을 처리하는 PC 모듈로, 대부분의 인터넷뱅킹 및 금융 관련 사이트에서 사용되며, 이로 인해 대부분의 국민들에게 영향을 미칠 수 있는 것으로 알려졌다. 이러한 사실은 금융권에도 전파되어 각 금융기관에서 관련 조치를 취하고 있는 것으로 보인다. 다만, 이번 악성코드 유포행위는 일반 국민을 대상으로 한 대규모 악성코드 유포 시도가 아닌 유포 대상을 지정한 위터링 홀(Watering Hole) 공격으로 추정된다.
이번 제로데이 취약점으로 인해 해당 ActiveX를 통해 모듈을 업데이트하는 과정에서 모듈의 PKCS#1 전자서명 및 각종 검증 절차들을 만족시키는 방법으로 악성코드를 설치할 수 있다. 악성코드 모듈을 신뢰할 수 있도록 하는데 사용된 전자서명 등 관련 정보는 올해 초 발생한 이니텍의 코드서명 인증서 유출사고 당시 해킹을 통해 수집된 것으로 추정되고 있다.
유포된 악성코드는 3.20 사이버테러 사용된 악성코드와 올해 초 발생했던 북한발 해킹사고들에 사용된 악성코드의 최신 변종으로, 해당 해커 조직은 국내의 한 통신사 특정 서버를 장악해 해당 악성코드의 명령제어 서버로 사용한 것으로 알려졌다.
상세한 유포절차를 보면, 우선 공격자가 업데이트 절차 분석해 악성코드를 생성하고, 설정 및 로깅 등의 업데이트 절차를 악성코드 유포지에 구성한다. 이후 유포대상 IP의 경우 접속자 PC에 자동으로 악성코드가 감염되고, 일반 접속자의 경우에는 감염되지 않는다. 이후 C&C 서버로 감염기록이 송신되고, 공격 명령이 송수신된다.
유포지로는 한국의 항공우주관련 학회와 미국 애틀랜타에 위치한 교회 웹사이트 등 2곳이며, C&C 서버도 2곳으로 확인됐다.
현재 악성코드는 국내외 주요 백신에서 탐지하고 있으며, 현재까지 금융회사에 대한 직접적인 영향은 확인되지 않고 있다. 하지만 공격자가 대량의 유포지를 확보해 해당 ActiveX가 설치된 PC를 대상으로 악성코드를 유포할 가능성이 존재하므로 각별한 주의가 요구된다.
현재 이니텍 측은 업데이트 검증절차 변경 후 프로그램 배포를 예정하고 있다. 이니텍 측의 확인결과 해당 취약점은 INISAFE Web v6.4 외에 CrossWeb v6.4, CrossWeb EX, SFilter v7.2, MoaSign S 등 다른 제품에도 영향을 미칠 가능성이 높은 것으로 알려졌다.
이에 금융회사들은 설치 백신의 업데이트 여부를 확인하고, C&C 서버 IP 차단 및 모니터링을 강화해야 할 것으로 보인다. 또한, 일반 사용자들도 당분간 인터넷 익스플로러(IE) 웹브라우저 사용을 자제하고, 크롬 웹브라우저를 사용하거나 부득이하게 IE를 사용할 경우 ActiveX 기능을 비활성화시킬 필요가 있다.
한편, 이번 사건으로 인해 그간 지속적으로 제기됐던 ActiveX의 보안 취약성 문제가 다시 도마 위에 오를 것으로 보인다.
[원병철 기자(boanone@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>