텔레그램, 악성파일 실행할 수 있는 제로데이 취약점 발견

2024-04-15 23:16
  • 카카오톡
  • 네이버 블로그
  • url
텔레그램 데스크탑 윈도우에서 보안 경고 우회하는 제로데이 취약점 발견
공유 동영상으로 위장해 사용자에게 가짜 동영상 클릭 유도...악성파일 실행할 수 있어


[보안뉴스 김경애 기자] 텔레그램을 데스크탑 윈도우에서 사용할 경우 악성파일을 실행할 수 있는 제로데이 취약점이 발견됐다.


[이미지=텔레그램 홈페이지]

최근 XSS 해킹 포럼에서는 Telegram for Windows의 소스 코드에 있는 Python .pyzw 파일을 클릭하면 보안 경고를 우회하는 데 악용될 수 있다며 취약점이 공유됐다. 해당 취약점은 파이썬 파일을 썸네일과 함께 공유 동영상으로 위장해 사용자가 가짜 동영상을 클릭해 시청하도록 속일 수 있다.

해당 취약점과 관련해 리니어리티 한승연 대표는 “텔레그램에서 exe 같이 악성코드를 실행할 수 있는 파일을 받게 되면 경고창이 뜬다”며 “‘pyzw’ 확장자 또한 악성코드를 실행할 수 있기 때문에 경고창이 떠야 하지만, 텔레그램 개발자가 ‘pywz’로 오타를 내는 바람에 ‘pyzw’ 파일은 경고창 없이 실행이 된다”고 설명했다.

즉 텔레그램 개발자의 오타 실수로 인해 취약점이 발생했다는 의미다. 이로 인해 파일은 다른 실행 파일과 마찬가지로 텔레그램의 경고 없이 파이썬에 의해 자동으로 실행되는 것으로 드러났다.

이와 관련 텔레그램 측은 “파이썬 스크립트를 실행하는 데 사용되는 윈도우 앱 제로데이를 수정했다”며 “텔레그램은 보안 경고를 무시하고 자동으로 파이썬(Python) 스크립트를 시작하는 데 사용할 수 있는 Windows 데스크톱 응용 프로그램의 제로데이 취약점을 수정했다”고 밝혔다.

한승연 대표는 “아웃룩, 브라우저 등 많은 프로그램들은 exe 등의 확장자가 전송될 경우 악성코드의 실행 위험을 알리는 경고창을 제공한다”며 “간혹 이러한 보안 경고를 우회하는 취약점이 등장하곤 하는데, 이번에 제기된 텔레그램 취약점도 같은 종류의 취약점”이라고 설명했다. 이어 한 대표는 “경고가 제공되더라도 사용자가 실행할 수 있기 때문에 지속적인 인식교육과 함께 기업 내에서 실행되는 의심 파일을 탐지할 수 있는 보안체계 구축이 중요하다”고 강조했다.

또한 시큐리온 유동훈 대표는 “최근 텔레그램 파이썬 스크립트 허용 결함 이슈로 인해 개발 코드 상에는 패치가 반영됐으나, 텔레그램 데스크탑 웹에서 최신 파일로 설치해도 파이썬 zip 애플리케이션 실행 환경(zipapp)에 대한 경고가 추가되지 않은 상태”라며 “패치가 되지 않은 데스크탑 윈도 버전 사용자의 피해를 우려해 긴급하게 서버에서 pyzw 파일 전송 시 확장자 뒤로 untrusted를 붙이도록 변경된 것까지는 확인됐다”고 설명했다.

이어 유 대표는 “피해를 예방하기 위해서는 화면에 보여지는 썸네일과 관계없이 파일명에 실행 가능한 확장자를 포함하는 경우 주의해 실행할 필요가 있다”며 “다행히도 사용 중인 데스크탑에 파이썬 실행 환경이 구성되지 않는 경우 직접적인 결함 피해가 발생되지는 않는다”고 말했다.

스틸리언 신동휘 CTO는 “텔레그램처럼 사용자가 많고 파급력 있는 응용 프로그램이라면 이번에 니온 취약점 식별과 동일한 방식으로 주기적인 auditing을 통해 보안성을 높일 수 있다”고 말했다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

연관 뉴스

헤드라인 뉴스

TOP 뉴스

이전 스크랩하기


과월호 eBook List 정기구독 신청하기

    • 다후아테크놀로지코리아

    • 인콘

    • 엔텍디바이스코리아

    • 이노뎁

    • 다후아테크놀로지코리아

    • 아이디스

    • 씨프로

    • 웹게이트

    • 씨게이트

    • 하이크비전

    • 한화비전

    • ZKTeco

    • 비엔에스테크

    • 비엔비상사

    • 원우이엔지

    • 지인테크

    • 지오멕스소프트

    • 이화트론

    • 다누시스

    • 테크스피어

    • 렉스젠

    • 슈프리마

    • 인텔리빅스

    • 시큐인포

    • 미래정보기술(주)

    • 동양유니텍

    • 비전정보통신

    • 경인씨엔에스

    • 트루엔

    • 성현시스템

    • 한결피아이에프

    • 프로브디지털

    • 디비시스

    • 세연테크

    • 스피어AX

    • 투윈스컴

    • 위트콘

    • 유에치디프로

    • 구네보코리아주식회사

    • 주식회사 에스카

    • 넥스트림

    • 포엠아이텍

    • 세렉스

    • 탈레스

    • 에스지에이솔루션즈

    • 로그프레소

    • 윈스

    • 포티넷코리아

    • 신우테크
      팬틸드 / 하우징

    • 에프에스네트워크

    • 유투에스알

    • 케이제이테크

    • 알에프코리아

    • 창성에이스산업

    • 아이엔아이

    • 미래시그널

    • 새눈

    • 에스에스티랩

    • 현대틸스
      팬틸트 / 카메라

    • 이스트컨트롤

    • 네티마시스템

    • 태정이엔지

    • (주)일산정밀

    • 넥스텝

    • 한국씨텍

    • 두레옵트로닉스

    • 에이티앤넷

    • 지에스티엔지니어링
      게이트 / 스피드게이트

    • 에이앤티글로벌

    • 포커스에이치앤에스

    • 신화시스템

    • 휴젠

    • 메트로게이트
      시큐리티 게이트

    • 글로넥스

    • 엘림광통신

    • 세환엠에스(주)

    • 유진시스템코리아

    • 카티스

    • 유니온커뮤니티

Copyright thebn Co., Ltd. All Rights Reserved.

MENU

회원가입

Passwordless 설정

PC버전

닫기