(주)이스트소프트(ESTsoft) 업체에서는 2014년 4월 8일경 Windows XP 운영 체제 지원 종료에 따른 취약점(Exploit)을 이용한 악성코드 유포를 차단할 목적으로 알약 익스플로잇 쉴드(ALYac Exploit Shield) 차단 솔루션을 선보인 바 있습니다.
알약 익스플로잇 쉴드(ALYac Exploit Shield) 보안 제품은 (주)하우리(Hauri) 보안 업체의 바이로봇 APT Shield 2.0 제품과 마찬가지로 Windows 운영 체제 및 다양한 응용 소프트웨어(Adobe Flash Player, Internet Explorer, Google Chrome, Mozilla Firefox, Adobe Reader, Oracle Java, MS Silverlight, MS Office, 한컴오피스 등)의 취약점(Exploit)을 이용한 드라이브 바이 다운로드(Drive-By Download) 방식의 악성코드 유포를 차단하는 제품입니다.
이번에 업데이트된 알약 익스플로잇 쉴드(ALYac Exploit Shield) 1.0.2.8 버전의 수정 사항 중 확인할 부분과 함께 실제 취약점(Exploit)을 통한 악성코드 유포 방식을 통해 차단하는 모습을 통해 제품의 중요성에 대해 살펴보도록 하겠습니다.
알약 익스플로잇 쉴드(ALYac Exploit Shield) 1.0.2.8 버전에서는 탐지 로직 개선, 감시 프로세스 추가, 버그(Bug) 수정과 함께 다음과 같은 프로그램 확장자를 변경하였습니다.
- AesWatcher 서비스 등록 파일 : C:\Program Files\ESTsoft\ALYacExploitShield\AesService.aes → C:\Program Files\ESTsoft\ALYacExploitShield\AesService.aye
- ALYacExploitShield 시작 프로그램 등록 파일 : C:\Program Files\ESTsoft\ALYacExploitShield\AesAgent.aes → C:\Program Files\ESTsoft\ALYacExploitShield\AesAgent.aye
알약 익스플로잇 쉴드(ALYac Exploit Shield) 제품 업데이트를 통해 기존 버전에서는 .aes 확장자명을 사용하는 파일을 이용하였지만 이번 버전부터는 알약(ALYac) 백신 프로그램과 마찬가지로 .aye 확장자로 통일하였습니다.
그렇다면 알약 익스플로잇 쉴드(ALYac Exploit Shield) 보안 제품을 반드시 사용해야하는 이유에 대해 살펴보도록 하겠습니다.
예를 들어 알약(ALYac) 무료 백신 사용자가 특정 웹 사이트를 방문하는 과정에서 사이트 내부에 포함되어 있는 악성 스크립트로 인하여 취약점(Exploit)을 이용한 악성코드에 자동 감염이 발생할 수 있는 문제가 있습니다.
- h**p://new.glo***.net/index.html - AVG : JS/Obfuscated
- h**p://new.glo***.net/main.html - MSE : VirTool:VBS/Obfuscator.H
- h**p://new.glo***.net/nbwm.jar - 알약(ALYac) : Java.Exploit.CVE-2012-4681.D
- h**p://new.topsto***.com/ok.exe (SHA-1 : b871291bc8970b2d98e26833f30cbe1a670b9829) - AhnLab V3 : Trojan/Win32.Generic (VT : 30/56)
예시에서는 보안 패치가 제대로 이루어지지 않은 PC를 이용하여 특정 웹 사이트에 접속하는 과정에서 "CVE-2014-6332 : Windows OLE 자동화 배열 원격 코드 실행 취약점", "CVE-2012-4681 : Oracle Java 제품의 원격 코드 실행 취약점"과 같은 다중 취약점 문제로 인하여 사용자 몰래 ok.exe 악성 파일이 자동 다운로드 및 실행되어 시스템 감염이 발생할 수 있는 상황입니다.
웹 사이트 접속 당시 알약(ALYac) 무료 백신 사용자의 경우 최종 다운로드된 악성 파일을 진단하지 못하는 문제로 인하여 시스템 감염이 사용자 모르게 이루어지게 됩니다.
하지만 알약 익스플로잇 쉴드(ALYac Exploit Shield) 보안 제품 사용자의 경우에는 최종 파일이 실행되는 과정에서 "알약 익스플로잇 쉴드 알림 - 악성코드 공격을 차단하였습니다."라는 알림창을 통해 알약(ALYac) 무료 백신에서 진단되지 않는 악성코드로부터 시스템을 쉽게 방어하는 모습을 볼 수 있습니다.
특히 알약 익스플로잇 쉴드(ALYac Exploit Shield)와 같은 취약점(Exploit) 차단 솔루션의 장점은 새로운 악성코드 변종 파일에 관계없이 차단을 할 수 있다는 점에서 위와 같은 취약점(Exploit)을 이용한 악성코드 감염 방식으로부터 해방될 수 있습니다.
여전히 많은 인터넷 사용자들은 수시로 업데이트되는 Windows 운영 체제 및 각종 응용 프로그램의 업데이트를 제대로 하지 않고 사용하는 문제로 인하여 취약점(Exploit)을 이용한 악성코드 유포 위험에 노출되어 있습니다.
그러므로 알약 익스플로잇 쉴드(ALYac Exploit Shield)와 같은 차단 솔루션을 안티바이러스(AntiVirus) 제품과 함께 사용하신다면 더욱 안전하게 시스템을 보호할 수 있으므로 알약(ALYac) 무료 백신 사용자는 필히 설치하시기 바랍니다.