PDF 형식의 파일로 폰트 관련 취약점 악용...사회공학적 기법 더해져
[보안뉴스 권 준] 2012 런던올림픽 대회가 갈수록 열기를 더하며, 전 세계의 이목이 올림픽에 집중되고 있다. 전 세계 각국을 대표하는 선수들이 참가하여 열전을 벌이고 관심을 높여가고 있는 가운데 올림픽 관련 스케쥴표로 위장한 악성파일이 발견되어 사용자들의 각별한 주의가 요망된다고 잉카인터넷 시큐리티 대응팀은 밝혔다. 



사용자가 감염사실을 의심하지 않도록 하기 위해 정상적인 2012 런던 올림픽 스케쥴표가 화면상에 출력될 수 있다. [출처 : 잉카인터넷 시큐리티 대응팀 블로그]

잉카인터넷 시큐리티 대응팀에 따르면 해당 악성파일은 PDF 형식의 파일로 폰트 관련 취약점을 악용하여 악성파일을 유포하고 있으며, 감염 시 정상적인 올림픽 스케쥴표가 출력되어 일반 사용자들의 경우 감염사실을 인지하기가 매우 어려운 것으로 알려졌다.

해당 악성파일은 2012 런던올림픽 경기일정표로 위장되어 이메일의 첨부파일 혹은 SNS, 메신저 등의 링크 접속을 통해 유포가 이루어질 수 있다는 것. 또한, 폰트 관련 PDF 취약점을 악용하고 있으며, 영향을 받을 수 있는 버전은 Adobe Reader 9.3.4 이전 버전과 Adobe Acrobat 9.3.4 이전 버전이다.

해당 악성파일의 경우 PDF 내부에 암호화되어 있는 TTF(True Type Font) 스트림의 특정 테이블을 통해 스택오버플로우를 일으키는 취약점이 악용됐다고 잉카인터넷 측은 밝혔다.

이러한 취약점이 유효할 수 있는 응용 프로그램을 사용하여 해당 악성파일이 실행될 경우 사용자가 감염사실을 의심하지 않도록 하기 위해 정상적인 2012 런던올림픽 스케쥴표가 화면상에 출력될 수 있다는 것.

이러한 취약점을 악용하는 악성파일의 경우 사전예방이 매우 어렵다는 특징을 가진다. 여기에 현재 전 세계적으로 가장 큰 이슈가 되고 있는 런던올림픽과 관련한 사회공학적 기법까지 더해진다면 일반 사용자의 경우 이에 대응하기 매우 어렵다는 게 잉카인터넷 측의 설명이다.

이와 관련 잉카인터넷 시큐리티 대응팀 관계자는 “현재 사용 중인 응용프로그램에 대한 철저한 보안패치와 함께 신뢰할 수 있는 보안업체의 백신을 설치한 후, 실시간 감시기능을 항상 ON 상태로 유지하고, 출처가 불분명한 이메일에 대한 열람을 자제하며, 메신저나 SNS 등의 링크 접속시 주의하는 등의 보안관리수칙을 철저히 준수하는 것이 안전한 PC 사용을 위한 최선의 방법”이라고 강조했다.  

잉카인터넷 시큐리티 대응팀에서 진단한 악성파일의 진단명은 다음과 같다. 
Trojan/W32.Agent.53248.CYM
Trojan-Exploit/W32.Pidief.291556.JVF
Trojan/W32.Agent.53248.DDR
[권 준 기자(editor@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>