안철수연구소

  • 시큐리티 레터
  • 월간 '安'

ASEC 리포트

HOME > 시큐리티 센터 > ASEC 분석 정보 > ASEC 리포트

안철수연구소 보안대응 전문 조직인 ASEC에서 국내 인터넷 보안과 고객에게 보다 다양한 정보를 제공하기 위해 바이러스와 시큐리티의 종합된 정보를 매월 요약하여 제공하는 리포트입니다.

ASEC 리포트 본문
[2010년 Vol.6] 2분기 시큐리티 이슈
  • 출처 : 안철수연구소
  • 조회수 : 1458
  • 2010-07-21

■ Adobe Acrobat Reader & Flash Player 제로데이 취약점

 

 지난 2분기에도 Adobe사의 대표 제품군인 Adobe Acrobat Reader관련 새로운 제로데이(0-day) 취약점(일명, PDF 취약점)이 발표되었다. 이러한 PDF 취약점 공격은 입사이력서나 유명 보안업체의 업데이트 권고와 같은 다양한 컨텐츠를 수반하는 위장된 메일 형태나 웹을 통해 사용자를 위협하고 있다. 특히, 새롭게 보고된 Adobe Acrobat and Reader authplay.dll 코드 실행(CVE-2010-1297,APSA10-01) 취약점은 기존의 직접적인 Adobe Acrobat Reader 상에서 발생되는 취약점과는 달리, 어플리케이션 내부에 탑재되어 있는 외부 처리엔진 상의 오류로 인하여 연쇄적 취약점이 발생한 사례라고 볼 수 있다.
이와 유사한 사례는 작년과 올해 1분기에도 존재하였다. 해당 취약점은 Adobe Flash Player 10.0.45.2 이하에 존재하는 flash 파싱엔진(authplay.dll)으로 인하여 발생되었고, 최근 이처럼 복잡한 어플리케이션간의 상호호환성은 취약점의 연쇄적 발생이라는 또 다른 보안위협을 유발하기도 한다는 점에 주목해야 할 것이다.

 

■ 매력적인 공격매체로 자리잡은 트위터

 

 최근 가장 유명한 소셜 네트워크 서비스(SNS)인 트위터는 공격자들에게도 아주 매력 있는 공격매체가 되고 있다. 작년에 이미 트위터 서비스를 공격자의 명령 서버(C&C)로 이용하는 사례가 보고된 바 있고, 상반기에는 보다 손쉽게 명령서버를 구축하여 활용할 수 있는 “TwitterNet Builder”라는 자동화툴이 발견되었다. 악용 가능한 트위터 계정정보를 입력하고 클릭 한번으로 새로운 좀비프로그램(Bot)이 생산되고, 이를 통해 DDoS 공격을 비롯한 다양한 공격을 수행할 수 있다. 또한, 2분기에는 단축 URL을 악용한 스팸메일 유포나 간접적으로 트위터 사용자 암호 리셋 메일 및 팔로잉(Following) 요청메일을 위장한 악성코드 배포 사례들도 보고되었다. 이처럼 트위터의 사용계층이 두터워지고, 그 활용범위도 개인 및 기업의 마케팅, 홍보 등으로 확장되면서 트위터를 활용한 공격방식도 보다 다양하고 활발해질 것으로 예상된다.

 

■ 국내카드사 이용대금 명세서로 위장한 악성코드 등장

 

 우리는 과거 종이 우편시대에서 전자메일을 통해 각종 명세서를 전달받아 처리하는 시대를 살고 있다. 하지만, 최근 스팸발송 기능을 갖는 악성코드의 활발한 활동으로, 메일함 속의 모든 메일들을 온전하게 믿을 수 없는 게 현실이다.
2분기에는 국내 유명 카드사의 이용대금명세서를 위장한 스팸메일이 발견되었고, 이를 통해 배포되는 악성코드에서 유명 국내 포털사이트로의 트래픽이 발견되어 큰 관심이 되기도 하였다. 공격에 이용된 스팸메일은 보안 카드명세서에서 정상적인 보안 프로그램을 설치하는 기능을 이용하여 악성코드를 대신 설치하도록 제작되어 있다. 실제 설치되는 악성코드는 공격자의 명령서버(C&C)로 부터  XML형태의 공격명령을 전달받고, 이 명령 속에서 한글로 된 카드 이용 대금 명세서 메일본체도 발견되었다. 이러한 서버/클라이언트 구조의 공격은 공격자가 자유롭게 공격명령을 변경할 수 있기 때문에 언제든지 좀비 프로그램으로 변신하여 또 다른 DDoS 공격을 수행할 수 있는 위험성을 갖고 있다.

 

■ 윈도우 도움말 센터 제로데이 취약점

 

 지난 1분기에 이어 2분기에도 새로운 제로데이 취약점들이 보고되었다.
가장 최근에 발표된 제로데이 취약점인 윈도우 도움말 센터(Windows Help and Support Center) 취약점(CVE-2010-1885)은 윈도우 도움말센터(helpctr.exe)를 통해hcp 프로토콜을 처리하는 과정에서 발생하는 디자인 상의 오류와 관련 html 페이지상의 크로스사이트 스크립트(XSS) 취약점이 결합되어 발생한다.
실제 공격에서는 사용자에게 프로토콜 사용에 대한 접근을 알리지 않도록 ASX HtmlView를 이용한 우회방법이 사용되고 XSS취약점을 통해 공격자가 원하는 코드를 배치파일로 만들어 실행하는 형태가 많이 보고되고 있다.
아직까지 해당 제로데이 취약점을 해결하기 위한 제품벤더(MS)로부터의 정식패치가 배포되지 않았기 때문에 임시적으로 MS사가 제공하는 Hotfix를 사용하는 것도 방법이 될 수 있다.
다음글[2010년 Vol.6] 2분기 웹 보안 통계
이전글[2010년 Vol.6] 2분기 시큐리티 통계

트위터 보내기 인쇄하기 메일보내기 스크랩하기 전체보기