웹센스 보안 연구소, 자바 보안 위험성 조사 결과 발표
상태바
웹센스 보안 연구소, 자바 보안 위험성 조사 결과 발표
  • 이광재 기자
  • 승인 2013.11.26 14:48
  • 댓글 0
이 기사를 공유합니다

자바는 CTO, CIO, CSO 등을 비롯한 임원들에게 많은 고민을 안겨 주고 있는 다루기 힘든 기술이다.

또 자바는 기업들의 경쟁력을 살리는 주요 비즈니스 애플리케이션에 내재돼 있다. 불행히도 자바 제로데이와 취약성은 악의적 집단들이 컴퓨터를 장악하게 만들고 있으며 이에 대해 해결책으로 제시되는 패치 관리는 실제적으로는 도움이 되지 않는다. 바로 이런 이유 때문에 지난 몇 개월간 웹센스 보안 연구소(Websense Security Labs)는 자바 보안 위험성에 대해 연구 조사를 진행했다.

1차로 웹센스 쓰렛씨커 인텔리전스 클라우드((ThreatSeeker Intelligence Cloud)를 통해 수집한 실시간 자료를 검토한 결과 수천만개의 엔드포인트에서 자바의 어떤 버전들이 사용되고 있는지가 파악됐다.

그 결과 93%의 기업이 알려진 자바 취약점 공격에 무방비 상태였고 약 50%의 기업 트래픽이 2년 이상 오래된 자바 구버전을 이용하고 있었으며 패치 진행 상황 모니터링의 경우 주요 자바 릴리스가 발표된지 몇 개월이 지났지만 단 7%의 기업만이 최신 버전의 자바를 채택한 것으로 확인됐다.

또한 83.86%의 기업 브라우저는 자바 콘텐츠를 지원할 수 있도록 자바를 활성화했고 약 40%의 사용자들이 현재 최신 버전의 플래시를 사용하지 않고 있다.

대략 10%도 안 되는 기업들이 패치 관리와 버전 제어를 통해 자바 취약성을 예방 관리하고 있다면 나머지 93%의 기업들이 데이터 유출로부터 시스템을 보호하기 위해 어떤 보안 체계를 이용하고 있을까.

모든 크라임 킷(crime kit)의 제어판을 살펴보면 자바 취약점 공격이 기업의 민감한 데이터를 빼내기 위해 기업 내로 침입해 들어가는 가장 좋은 틈새라는 것을 알 수 있다. 하지만 대부분 기업들이 갖는 문제는 자바 취약성의 초기 발견이 아니라 제로데이 공격이 취약점 공격 킷과 결합되는 것이다.

사이버 범죄자들은 일주일에 200달러 정도의 적은 비용으로 이미 제로데이가 포함된 취약점 공격 킷을 어디서나 쉽게 임대할 수 있다. 제로데이 취약성의 신속한 결합은 공격자들에게 백신, 방화벽 및 기타 보안 장치와 같은 전통적인 시그니처 방식을 우회하는 취약점 공격 킷을 재현할 수 있는 무한대의 역량을 갖게 한다. 취약점 공격 킷은 복잡하고 많은 비용이 발생하는 프로세스를 줄이고 취약점을 악용하는 데 필요한 노력, 전문성 및 비용을 줄였다.

따라서 이제 사이버 범죄자가 되는 장벽은 매우 낮아졌다. 정교하게 만들어진 취약점 공격 킷들이 거의 모든 작업을 대신 수행하며 원하면 심지어 바이너리를 호스팅할 수 도 있다.

웹센스의 조사 결과에 따르면 패치 관리 프로세스는 지나치게 느리게 진행되고 있는 것으로 나타났다. 특히 원격 근무자를 보유한 조직의 경우에 패치 관리는 복잡한 프로세스가 될 수 있다. 바로 이 때문에 실시간 보안 모델이 절대적으로 필요한 것이다. 심지어 최고의 패치 관리와 백신 프로그램만으로는 차세대 공격 방식의 이점을 활용하도록 생성된제로데이와 취약점 공격 킷의 연속적인 공격을 막아낼 수 없다.

공격 체인의 마지막 최종 단계에서 무언가를 잡으려고 기대하고 기다리는 것보다는 공격 체인 전체를 검토하고 의심스러운 상황에 대해 대응하는 접근 방식은 아무리 신종의 악성 코드(malware)라 하더라도 이러한 공격을 포착해서 차단할 가능성을 매우 높일 수 있다. 여기에 최신의 사례를 제공한다.

올해 사이버 범죄자들은 레드킷 취약점 공격 킷(RedKit Exploit Kit)을 이용하여 컴퓨터에 침입하기 위해 보스톤 마라톤 대회에서 발생한 끔찍한 테러 공격을 악용하는 방법을 모색했다. 웹센스 보안 연구소에 의해 차단된 이 캠페인을 살펴보면 7단계 지능형 공격에서 자바 취약점 공격이 어떻게 악용되었는지를 이해할 수 있다.

1단계: 정찰(Reconnaissance) = 다른 활동들과 마찬가지로 이 사례에서 사이버 범죄자들은 뉴스와 사건 속보를 모니터링하며 성공적인 공격을 감행할 기회를 노리고 있었다. 보스톤 마라톤 대회의 폭탄 테러는 이러한 활동을 위한 기회를 제공했다.

2단계: 유인(Lures) = 범죄자들은 테러 상황에 대해 보다 자세한 내용을 알고자 하는 사람들의 관심을 악용해서 ▲보스톤 마라톤 대회에서 2번의 폭발 발생 ▲보스톤 마라톤 대회 폭발에 따른 여파 ▲보스톤 폭발 현장 영상 포착 ▲속보-보스톤 마라톤대회 폭발 ▲선수 포착. 마라톤 대회 폭발 ▲보스톤 마라톤 대회 폭발 현장 영상 등의 충격적인 헤드라인을 포함한 스팸 이메일 활동을 개시했다.

3단계: 리다이렉트(Redirects) = 일단 링크를 클릭하면 희생자에게 사건 속보에 관한 동영상 기사를 포함된 페이지가 전달된다. 부지불식간에 숨겨진 아이프레임(iframe)을 통해 취약점 공격 페이지로 리다이렉트되며 이 경우에는 ▲/news.html ▲/boston.html 등의 페이지를 들 수 있다.

4단계: 취약점 공격 킷(Exploit Kits) = 이 공격에 사용된 레드킷 취약점 공격 킷은 해당 취약점을 스캔 한다. 이 사건에서는 희생자 컴퓨터에 파일을 전송하기 위해 오라클 자바 7 보안 관리(Security Manager) 우회 취약성(CVE-2013-0422)이 이용됐다.

5단계: 드로퍼 파일(Dropper Files) = 이 특정 활동에서는 Win32/Kelihos 및 Troj/Zbot 등 2개의 봇(bot)을 설치하기 위해 Win32/Waledac 계열의 다운로더인 비표준 드로퍼 파일을 사용했다.

6단계: 콜홈(Call Home) = 이제 시스템이 봇 헤더(bot herder)에 접속하여 통신을 시작한다.

7단계: 데이터 유출(Data Theft) = 이는 비즈니스에서 가장 위험한 단계로 해당 시스템은 이제 엔드포인트 또는 기기의 데이터, 기기를 통과하는 데이터 또는 기기에 의해 접근할 수 있는 데이터 유출이 장기적으로 이뤄지게 된다. 또한 엔드포인트를 변경해 원치 않는 이메일의 발송 또는 DDoS(Distributed Denial of Service) 공격에 자신도 모르게 가담하게 만드는 등 새로운 공격을 위한 새로운 플랫폼으로 만들 수 있다.

전체 위협 킬 체인 전반을 검토함으로써 CSO는 데이터 유출이 발생하기 전에 위험을 포착하고 차단할 수 있는 여러번의 기회를 갖게 된다. 이와 같은 접근 방식은 알려지지 않은 객체를 포착하려고 시도하는 방식보다 훨씬 효과적인 공격 탐지 및 차단 방식이다. 전체 위협 킬 체인 내 모든 링크에 대해 여러 차례 검토하고 분석해 제로데이 공격까지도 차단될 수 있다.

오늘날의 기업들은 이와 같은 단 단계 분석방법이 필요하며 각 계층은 사이버 범죄자들이 네트워크에 침입해 데이터를 유출하는 것을 어렵게 만들어 자바가 기업에 야기하는 위험을 최소화할 것이라고 웹센스는 밝혔다.



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.