카스퍼스키랩이 멀티미디어 콘텐츠 표시에 사용되는 웹 기술인 ‘실버라이트(Silverlight)’의 제로데이 취약점을 발견했다고 밝혔다.
카스퍼스키랩에 따르면 이 취약점을 통해 공격자는 감염된 컴퓨터에 대해 완전한 액세스 권한을 확보하고 악성 코드를 실행해 기밀을 훔치고 기타 악성 행위를 자행할 수 있다.
CVE-2016-0034로 명명한 이 취약점은 MS에서 지난 12일에 배포한 최신 패치 업데이트를 통해 해결됐다. 이번 발견은 5개월 전 Ars Technica의 게시글에서 시작해 지속적인 조사를 실시한 결과다.
2015년 여름 ‘합법적인 스파이웨어’ 개발사로 알려진 해킹팀(Hacking Team)에 대한 해킹 소식이 전세계를 강타했다. 이와 관련해 많은 의견과 기사가 쏟아졌고 그 중 해킹팀과 익스플로잇 공격 개발자인 ‘비탈리 토로포브(Vitaliy Toropov)간의 연계가 드러났다’는 내용의 글이 Ars Technica에 게시됐다.
그 글에서는 토로포브가 특정 제로데이를 해킹팀에 팔아넘기려고 시도했다고 이야기하고 있었다. 4년이 지났지만 당시에 여전히 수정되지 않고 있던 실버라이트의 취약점이 그 대상이었다. 이 정보가 카스퍼스키랩의 흥미를 끌었다.
해당 글에는 보다 자세한 정보가 나와 있지 않았기 때문에 카스퍼스키랩은 판매자의 이름으로 조사를 시작했다. 곧 비탈리 토로포브가 취약점에 대한 정보를 누구나 자유롭게 게시하는 사이트인 OSVBD(Open Source Vulnerability Database)의 활발한 이용자라는 것이 밝혀졌다.
카스퍼스키랩의 연구진들은 OSVBD.org에 공개돼 있는 토로포브의 프로필을 분석해 2013년에 토로포브가 실버라이트 기술의 버그에 대해 서술한 POC(개념 증명)를 게시한 것을 발견했다.
당시 POC에서 다룬 주제는 기존에 알려졌으며 이미 패치된 취약점이었으나 카스퍼스키랩에서는 글에 나온 정보에서 힌트를 얻어 토토포브가 코드를 쓸 때의 특징을 알아냈다.
분석 결과 코드 내부에 눈에 띄는 독특한 문자열이 있었다. 이 정보를 이용해 연구진은 카스퍼스키랩 제품에 적용할 탐지 규칙을 몇 가지 만들어냈다.
위협 데이터를 KSN(Kaspersky Security Network)과 공유하는 것에 동의한 사용자의 컴퓨터에서 이 탐지 규칙에 해당하는 행동을 보이는 악성 코드가 발견되면 매우 의심스러운 파일로 분류하고 분석을 위해 카스퍼스키랩으로 알림을 보내도록 했다.
이 전략의 기반이 된 것은 간단한 추측이었다. 토토포브가 제로데이 취약점을 해킹팀에게 판매하려고 했다면 다른 스파이웨어 회사에게도 같은 제안을 했을 가능성이 높다는 것이다.
따라서 다른 사이버 스파이 조직도 제로데이를 적극적으로 이용해 무방비한 상태의 사용자들을 감염시킬 것으로 예상한 것.
이 추측은 적중했다. 특별 탐지 규칙을 적용한 지 몇 달이 지나지 않아 고객 중 하나가 카스퍼스키랩에서 찾고 있던 탐지 규칙에 해당하는 의심스러운 공격을 받았다. 몇 시간 뒤에는 역시 피해자로 추정되는 라오스의 다른 사용자가 같은 특징을 보이는 파일을 업로드했다.
이를 분석한 카스퍼스키랩은 실버라이트 내부의 미확인 버그를 악용한 공격임을 확인한 후 즉시 검증을 위해 해당 취약점 정보를 MS로 보고했다.
코스틴 라이우 카스퍼스키랩 글로벌 위협 정보 분석팀(Global Research and Analysis Team) 이사는 “우리가 발견한 익스플로잇 공격이 Ars Technica에서 언급한 것과 동일하다고 확인된 것은 아니지만 그렇게 추정할 만한 근거는 충분하다”며 “비탈리 토토포브의 이전 작업물과 이번 파일을 비교 분석한 결과 최근 발견한 취약점의 개발자와 OSVDB에 토토포브의 이름으로 POC를 게재한 사용자는 동일 인물로 보이기 때문이고 물론 아예 다른 실버라이트의 제로데이 취약점을 발견한 것일 가능성도 완전히 배제하지는 않고 있다. 이번 조사로 새로운 제로데이 취약점를 발견하고 책임감을 가지고 이를 공개한 조치로 인해 사이버공간이 한층 안전해졌다고 말할 수 있다. MS 제품 사용자들은 가능한 한 빠르게 시스템을 업데이트해 이 취약점을 패치하는 것이 좋다”고 말했다.
