`마이크로소프트 CVE-2012-1889` 제로데이 공격이 지난 6월 말 국내 주요인터넷 사이트에서 대량 유포된 것으로 확인됐다. 지난 6월 4주차 주말에는 9개 사이트 정도에서 뿌려졌던 CVE-2012-1889 제로데이 공격이 마지막 주 110여개 사이트에서 발견, 한 주 만에 10배 이상 늘었다.
이미 CVE-2012-1889 제로데이 공격을 유포한 것으로 확인됐던 연예기획사 YG엔터테인먼트, 큐브엔터테인먼트, 샤이니(팬페이지) 등에서 해당 악성코드가 또다시 유포된 것은 물론이고 유명 언론사, 부동산 관련 사이트, 유력 기독교 인터넷방송국, 포털사이트, 유명 테마파크형 수족관 사이트 등 모든 분야 사이트에서 해당 악성코드가 발견됐다. 이 악성코드에 감염되면 해커가 사용자 PC의 모든 권한을 탈취해 좀비 PC로 만들거나 게임계정 도용은 물론이고 데이터 탈취, 녹취, 원격조종 등 해커 뜻에 따라 움직이게 된다. 감염을 막으려면 인터넷 사용을 중지하는 수밖에 뾰족한 대안이 없다.
8일 빛스캔·카이스트(KAIST) 사이버보안연구센터·카이스트 정보보호대학원 공동 분석에 따르면 사용자가 홈페이지를 방문하기만 해도 악성코드에 감염되는 이른바 마이크로소프트 제로데이 악성코드의 무차별로 유포가 더욱 심해지고 있는 것으로 나타났다. (본지 6월 29일자 1면 참조)
빛스캔·카이스트 사이버보안연구센터 측은 “CVE-2012-1889 악성코드는 백신을 비활성화시키기 때문에 백신에서 탐지할 수 없다. 홈페이지만 방문해도 저절로 감염되므로 감염을 막기 위한 대안은 MS 패치밖에 없다”고 말했다.
이처럼 마이크로소프트에서 조속히 정식 패치를 발표해줘야 하지만 MS 측은 취약점을 우선 제거할 수 있는 `픽스잇(Fix it)`만을 내놓을 뿐이다.
본지가 한국마이크로소프트에 공식 확인한 바에 따르면 “XML 코어 서비스(Core Services)에 아직 알려지지 않은 제로데이 취약점이 발견됐음을 6월 12일에 보안 권고문 형태로 이미 공개했다”며 “이를 막으려면 MS 고객지원사이트에서 픽스잇을 내려받아 설치하라”고 답했다.
그러나 보안 전문가들은 근본적인 해결방법이 아니라고 말한다. 한 보안업계 전문가는 “인터넷에 익숙한 젊은 세대를 제외한 청소년, 고령층 등이 특정 MS의 페이지를 찾아서 픽스잇을 설치해 XML을 비활성화하기란 쉽지 않다”고 말했다.
무엇보다 이 공격은 유독 한국을 대상으로 한다. 마이크로소프트에서 패치를 서둘러야 하지만 피해사례가 한국에 집중되다 보니 MS가 서두르지 않는다는 분석이다.
MS도 한국이 제로데이 악성코드의 최대 피해국임을 인지했다. 지난해 7월 18일 마이크로소프트는 시큐리티블로그(http://blogs.technet.com)에서 어도비 플래시 악성코드 피해가 유독 한국에 집중됐다고 밝혔다. 어도비 플래시 악성코드의 피해를 밝히고 대책을 촉구했던 MS가 자사의 제로데이 악성코드 피해에는 손을 놓고 있다는 것은 앞뒤가 맞지 않다는 지적이다.
전상훈 빛스캔 이사는 “언론사, 부동산사이트, 종교사이트, 연예인홈페이지, 커뮤니티사이트 등 주말 동안 어느 한 군데라도 방문했다면 CVE-2012-1889 제로데이 악성코드에 감염, 좀비 PC가 될 수 있다”며 “공격자들은 접속자가 많은 해당 분야 1위 사이트를 골라 효과적으로 악성코드를 배포시키는 만큼 이를 막으려면 패치 보급이 시급하다”고 지적했다.
또 그는 “그간은 의심스러운 사이트를 방문하지 말거나 첨부파일을 함부로 내려받지 말고 최신 백신·패치를 설치하라고 사용자들에게 주의를 줬지만 이 공식이 CVE-2012-1889 제로데이 악성코드에서는 하나도 적용되지 않는다”고 말했다. 즉 공신력 있는 사이트에서 악성코드가 배포되고 사이트만 방문해도 모르는 새 감염돼 버리며 최신 패치는 없다. 더군다나 이 악성코드는 국내 백신은 비활성화시켜 탐지되지 않도록 하기 때문에 탐지 자체가 어렵다. 피해를 막기 위해 MS의 정식 패치 배포가 시급하다.
장윤정기자 linda@etnews.com