본문 바로가기

벌새::Security

제큐어웹(XecureWeb Control) 보안 취약점 경고와 해결 방법 (2013.6.6)

반응형

금융권을 비롯한 다양한 웹 사이트에서 ActiveX 설치 방식으로 제공하는 제큐어웹(XecureWeb Control) 보안 솔루션의 취약점을 이용하여 악성코드 유포 행위가 지속적으로 발생하고 있는 것으로 확인되고 있습니다.

 

  <KISA 인터넷침해대응센터> 제큐어웹 ActiveX 원격코드 실행 취약점 보안 업데이트 권고 (2013.6.5)

KISA에서 제공하는 보안 공지에 따르면 사용자 PC에 "제큐어웹(XecureWeb Control) 7.2.6.5 버전 및 하위 버전"이 설치된 환경에서 악의적으로 제작된 웹 사이트에 방문할 경우, 제큐어웹(XecureWeb Control)의 보안 취약점을 이용하여 원격 코드 실행이 가능하다고 밝히고 있습니다.

 

이를 통해 감염된 시스템에서는 백도어(Backdoor) 등과 같은 악성코드를 통해 정보 유출 등의 문제가 발생할 수 있으며, 현재 해당 취약점을 악용한 침해 사고가 발생하고 있다고 합니다.

 

이에 실제 제큐어웹(XecureWeb Control)의 취약한 버전 사용이 어느 정도로 이루어지고 있는지에 대해 IBK 기업은행 인터넷뱅킹 웹 사이트를 통해 테스트를 진행해 보았습니다.

 

해당 사이트에 접속하면 ActiveX 설치 방식을 통해 다양한 보안 솔루션을 설치하며, 그 과정에서 소프트포럼(SoftForum)에서 제공하는 "[Web Security Program] XecureWeb Control v7.2"를 함께 설치하게 됩니다.

일반적으로 이런 보안 솔루션이 설치 완료되는 과정에서 XecureWeb 모듈을 모든 웹 사이트에서 동작하도록 설정할지 여부를 묻는 창이 생성되며, 대부분의 사용자들은 편의를 위해 "예(확인)"를 클릭하여 모든 웹 사이트에서 XecureWeb Control 보안 모듈이 실행될 경우 자동으로 실행되도록 설정합니다.

 

하지만 최근과 같은 XecureWeb Control 프로그램의 보안 취약점 문제가 부각되고, 악의적인 공격이 빈번하게 발생하는 현실에서 자동으로 실행되지 않도록 "아니오(취소)" 버튼를 클릭하여 제한된 웹 사이트에서만 XecureWeb Control 프로그램이 실행되도록 하시는 것을 권장합니다.(※ 실제 제큐어웹(XecureWeb Control) 보안 취약점을 악용한 웹 사이트 접속시에는 실행 여부를 묻지 않고 자동 감염이 이루어질 수 있을 것으로 추정됩니다.)

참고로 제한된 웹 사이트에서만 제큐어웹(XecureWeb Control)이 동작하도록 설정한 경우에는 다른 웹 사이트에서 제큐어웹(XecureWeb Control)의 실행을 위해서는 웹 브라우저에 그림과 같은 실행 여부를 묻는 창이 생성되어 사용자가 시각적으로 인지할 수 있습니다.

제큐어웹(XecureWeb Control) 프로그램이 허용된 웹 사이트에 접속을 하면 시스템 트레이 알림 아이콘 영역에 자물쇠 모양의 아이콘이 생성되며, "ClinetSM 정보"를 확인해보면 "Control Version 7.2.5.8" 버전으로 표시되어 있는 것을 확인할 수 있습니다.

자세한 버전 정보를 확인하기 위해서는 웹 브라우저의 "추가 기능 관리"에 등록된 "도구 모음 및 확장 프로그램" 메뉴에서 "다운로드 받은 컨트롤"을 선택하여 "XecureWeb 4.0 Client Control" 항목을 선택하시면 버전 정보를 확인할 수 있습니다.

 

즉, 현재 IBK 기업은행 인터넷뱅킹 웹 사이트에서 제공하는 제큐어웹(XecureWeb Control) 보안 솔루션은 KISA에서 안내하는 "제큐어웹(XecureWeb Control) 7.2.6.5 버전 및 하위 버전"을 사용하고 있으며, 이렇게 설치된 PC 환경에서 사용자가 특정 악의적으로 조작된 웹 사이트를 방문할 경우 악성코드 감염에 노출될 수 있다는 의미입니다.

 

  <디지털데일리> “제큐어웹은 3.20 해킹과 무관”…누명벗은 소프트포럼 (2013.4.10)

 

해당 문제가 왜 중요한지 살펴보면 우선적으로 대다수의 인터넷 사용자는 금융 결제를 위해 제큐어웹(XecureWeb Control) 보안 솔루션을 설치한 PC 환경이라는 점으로 점유율이 상당히 높습니다.

 

이런 높은 점유율과는 반대로 제큐어웹(XecureWeb Control) 보안 솔루션은 2013년 3월 20일에 발생한 사이버 공격의 빌미를 제공하였다는 점(※ 업체에서는 3.20 해킹과는 무관하다고 밝힌바 있습니다.)과 보안 취약점을 악용하여 악성코드 유포에 활용되고 있다는 점이 문제가 되고 있습니다.

이에 소프트포럼은 “우선 전산망 해킹을 당한 6개 기관은 제큐어웹의 고객사가 아니다”라며 “문제시되고 있는 제큐어웹 취약점에 대한 패치는 지난해 7월 이미 모두 완료된 상태다. 이번에 발견된 문제점은 보안패치를 내려받지 않은 몇몇 사용자들의 문제로 파악된다”고 해명했다.

해당 언론 기사에서는 2012년 7월 제큐어웹(XecureWeb Control) 취약점에 대한 보안 패치가 완료되었다고 밝히고 있는 부분을 통해 그 이전 시점에서 제큐어웹(XecureWeb Control) 취약점을 이용한 악성코드 감염이 가능한 상황이 일정 기간 지속되었을 가능성이 높습니다.

 

그리고 이번에 추가적으로 발견된 제큐어웹(XecureWeb Control) 취약점을 이용한 침해 사고가 또 발생하고 있다는 점에서 제큐어웹(XecureWeb Control) 보안 솔루션을 서비스하는 다양한 웹 사이트의 대응은 큰 문제가 되고 있습니다.

특히 IBK 기업은행 인터넷뱅킹에서 제공하는 제큐어웹(XecureWeb Control) 관련 파일(C:\Program Files\SoftForum\XecureWeb\ActiveX)을 확인해보면 2012년 7월에 보안 패치가 된 이후 이번에 알려진 보안 취약점에 대한 보안 패치가 적용된 최신 버전(XecureWeb Control 7.2.6.6 버전 및 상위 버전)이 아닌 상태로 유지되고 있습니다.

 

비단 해당 은행 사이트에서만 이런 문제가 발생하는 것이 아니라 대학교를 비롯한 다양한 제큐어웹(XecureWeb Control) 보안 솔루션을 제공하는 웹 사이트에서도 확인되는 심각한 문제입니다.

 

그러므로 사용자들은 다음과 같은 방식으로 제큐어웹(XecureWeb Control) 프로그램의 사용 방식을 변경하시기 바랍니다.

 

(1) 웹 브라우저의 추가 기능 관리에 등록된 "XecureWeb 4.0 Client Control" 버전을 확인하여 "XecureWeb Control 7.2.6.5 버전 및 하위 버전"인 경우에는 제어판에 등록된 "XecureWeb Control" 삭제 항목을 이용하여 삭제하시기 바랍니다.

 

(2) 금융권 등 웹 사이트 방문시 제큐어웹(XecureWeb Control)을 반드시 설치해야 할 경우에는 1회 설치하여 웹 사이트 서비스를 이용한 후 제어판에서 "XecureWeb Control" 삭제 항목을 찾아 삭제하시기 바랍니다.

 

결론적으로 제큐어웹(XecureWeb Control) 보안 솔루션은 과거, 현재 그리고 미래에도 지속적인 보안 취약점을 악용한 사이버 공격에 활용될 수 있으므로 되도록 필요한 시점에서만 설치하여 사용한 후 삭제를 하시는 것을 강력하게 권장합니다.

 

Adobe Flash Player와 같은 유명 소프트웨어도 제로데이(0-Day) 보안 취약점을 이용한 악성코드 감염에 활용되고 있으며 프로그램 특성상 인터넷 이용시 반드시 필요한 프로그램인데 반하여, 제큐어웹(XecureWeb Control) 보안 솔루션은 특정 웹 사이트에서 제한된 환경에서만 동작하는 프로그램이므로 필요시에만 설치한 후 삭제 처리를 하는 것이 현재로서는 가장 안전한 사용 방법이 아닐까 싶습니다.

728x90
반응형