웹센스 보안 연구소는 당초 알려진 것보다 3주전인 지난 1월20일부터 CVE-2014-0322 취약점 공격(Exploit)를 이용한 MS 인터넷 익스플로러10 제로데이 공격이 발생한 것을 확인했다고 전했다. CVE-2014-0322 취약점 공격은 hxxp://gifas.assso.net에서 호스팅 및 실행된 것으로 나타났다.
hxxp://gifas.assso.net은 프랑스 항공우주산업협회 웹사이트 주소인 hxxp://gifas.asso.fr을 모방해 만든 가짜 사이트다. 프랑스 항공우주산업협회는 대형 주계약업체 및 시스템 공급업체, 소규모 전문 업체 등 300여 이상의 회원사를 보유하고 있다. 이 협회는 민간 및 군용 항공기와 헬리콥터 엔진, 미사일 및 무기류, 위성 및 발사체, 항공우주, 방위 및 보안 관련 주요 시스템, 장비, 부속품 및 관련 소프트웨어 등으로 활동 영역을 확대하고 있다. 이처럼 매우 유사한 도메인 이름을 사용한 것으로 프랑스 항공우주협회가 공격 목표라는 것을 짐작할 수 있지만 아직 이 도메인을 통한 공격은 관찰되지 않았다.
CVE-2014-0322 취약점 공격은 미국의 서버에서 호스트됐다. 지난 1월20일 악성 Shockwave Flash(Tope.swf SHA: 910de05e0113c167ba3878f73c64d55e5a2aff9a)가 바이러스토탈(VirusTotal)에 업로드됐으나 이러한 움직임은 익스플로이트를 방지할 백신 프로그램이 있는지를 확인하기 위함으로 보였다. 당시에 이 공격에 대한 어떤 단서도 포착하지 못했다. 이번에 확인된 취약점 공격은 메모리 내(in memory) 공격 방식이며 백신 제품을 우회하기 위해 파일 쓰기 작업도 수행하지 않는다. 초기 분석 결과에 따르면 이번 공격이 DeputyDog 및 EphemeralHydra 그룹과 연관된 것으로 나타났다.
제이슨 힐 웹센스 대표 보안 연구원은 “이번에 발견된 취약점 공격은 사용된 도메인 이름이 상당 부분 비슷한 점에 미루어 프랑스 우주항공산업 협회와 관련된 조직을 공격 대상으로 삼고 있는 것으로 보인다”며 “유명 상표 및 상호와 유사한 도메인을 등록하는 일반적인 타이포스쿼트(typosquat)들과 달리 악의적인 의도를 가진 공격자들은 기존의 URL에 글자를 추가하거나 순서를 바꾸어 놓고 누군가 이를 잘못 입력할 때까지 기다리며 유인으로서 사용하기 위해 만든 것으로 보인다”고 설명했다.
또한 “GIFAS는 우주항공 및 방위 등을 비롯한 업계에서 300여 이상의 회원사를 보유하고 있다”며 “기업들은 공격의 초기 단계에서 막아내는 방어 체계를 확보하는 것은 물론 만일 교묘한 신종 위협에 의해 이 방어선이 뚫리더라도 다층적 보안 방어 체계를 구축해 지적 자산의 유출을 탐지 및 차단해야 한다”고 강조했다.
한편 웹센스는 인터넷 익스플로러10 사용자들이 인터넷 익스플로러11로 업그레이드할 것을 권고했다. 또한 이번 공격은 MS의 EMET(Enhanced Mitigation Experience Toolkit)의 존재 여부를 확인하는 것으로 밝혀졌다. 이것이 발견되면 취약점 공격의 시도가 중단된다. EMET를 구축하는 방법에 대한 보다 자세한 내용은 MS의 개요와 EMET 지식 베이스 자료에서 확인할 수 있다.
저작권자 © CCTV뉴스 무단전재 및 재배포 금지
