북한 해킹그룹으로 알려진 레드아이즈(Redeyes)가 마이크로소프트(MS) 인터넷 익스플로러(IE) 브라우저의 제로데이 취약점을 악용해 공격을 벌인 것으로 드러났다. 개인용컴퓨터(PC) 화면의 오른쪽 아래에서 솟아오르는 팝업 알림창인 '토스트' 취약점을 통로로 삼아 악성코드를 감염하는 방식이다.
안랩 시큐리티인텔리전스센터(ASEC) 분석팀과 국가정보원 산하 국가사이버안보센터(NCSC) 합동분석협의체는 이 같은 내용을 담은 합동 분석보고서를 발표했다.
공격자는 무료 소프트웨어에서 함께 설치되는 특정 토스트 광고 프로그램이 광고 콘텐츠를 다운로드할 때 지원이 종료된 취약한 인터넷 익스플로러 모듈을 사용한다는 점을 노렸다.
먼저 토스트 광고 프로그램이 광고 콘텐츠를 다운(제공)받는 특정 국내 광고 대행사의 서버를 공격해 권한을 획득했다. 이후 해당 서버의 광고 콘텐츠 관련 스크립트에 취약점 코드를 삽입했다. 이 취약점은 토스트 광고 프로그램이 서버에서 콘텐츠를 다운로드 후 렌더링하는 과정에서 발현된다.
공격자는 토스트 광고 프로그램이 설치된 PC에 악성코드 감염을 유도하고, 감염 이후엔 원격 명령 등 다양한 악성행위를 수행할 수 있다.
양기관은 MS에 관련 내용을 즉시 신고했으며, MS는 지난 8월 13일 해당 보안 취약점을 보완하는 정기패치를 마쳤다.
안랩 측은 “MS가 2022년 6월 IE 지원을 종료했으나, 여전히 IE 모듈을 사용하는 일부 윈도우 애플리케이션을 노린 공격이 꾸준히 발견된다”며 “소프트웨어 제조사는 제품을 개발할 때 보안에 취약한 개발 라이브러리와 모듈을 사용하지 않도록 주의해야 한다”고 당부했다.
송태현 안랩 ASEC 선임연구원은 “피해 예방을 위해 사용자들은 운용체계(OS)·소프트웨어 보안 업데이트를 정기적으로 실시하는 등 기본 보안수칙 준수가 매우 중요하다”고 말했다.
조재학 기자 2jh@etnews.com
