최근 Oracle Java 프로그램의 다양한 보안 취약점을 이용하여 페이스북(Facebook), 애플(Apple), 마이크로소프트(Microsoft)와 같은 유명 IT 업체들이 악성코드 감염이 확인되고 있으며, 알려진 취약점에 대한 보안 패치를 최근에 발표하였습니다.
▷ 업데이트 : Oracle Java SE Runtime Environment 7 Update 15 & 6 Update 41 (2013.2.20)
그런데, 해당 보안 패치가 나온 직후 또 다른 Java 제로데이(0-Day) 취약점(CVE-2013-1493)을 이용하여 특정 타켓을 목표로 한 유포 행위가 미국 보안 업체인 FireEye를 통해 공개되면서 지속적인 보안 위협이 되고 있습니다.
▷ <FireEye Malware Intelligence Lab> YAJ0: YET ANOTHER JAVA ZERO-DAY (2013.2.28)
▷ <KISA 보안 공지> Oracle Java JRE 신규 취약점 주의 권고 (2013.3.4)
이에 따라 Oracle Java 프로그램이 설치된 PC 환경에서는 악의적으로 변조된 웹 사이트 방문시 자동으로 악성 Java applet을 통해 다운로드가 이루어지며, 이를 통해 원격 코드 실행을 통한 시스템 감염이 이루어질 수 있습니다.
□ Oracle Java SE Runtime Environment 7 Update 15 버전 및 하위 버전
□ Oracle Java SE Runtime Environment 6 Update 41 버전 및 하위 버전
FireEye에서 공개된 정보를 보면 일본(Japan) 도메인을 사용하는 특정 웹 서버로부터 백도어(Backdoor) 계열인 svchost.jpg 파일(MD5 : b6c8ede9e2153f2a1e650dfa05b59b99)을 다운로드하며, 이를 통해 AppMgmt.dll 파일 생성 및 서비스 등록을 통해 자동 실행되도록 구성되어 있습니다.
현재 해당 보안 취약점에 대한 보안 패치가 공개되어 있지 않으므로, 당분간 Oracle Java 프로그램이 설치된 사용자는 프로그램 자체를 삭제하시거나 다음과 같은 임시 조치를 취하시기 바랍니다.
우선 최신 버전의 Oracle Java SE Runtime Environment 7 Update 15 버전으로 업데이트를 한 후, "제어판 → 프로그램 → Java" 메뉴를 클릭하여 "Java 제어판"을 실행하시기 바랍니다.
그 후 "보안"탭의 "브라우저의 Java 콘텐츠 사용" 항목의 체크를 해제하여, 웹 브라우저 상에서 Java 플로그인을 사용하지 않도록 차단하시기 바랍니다.
이런 경우에는 실제 악성 웹 사이트에 방문하여도 악성 Java applet이 동작하지 않으므로 시스템 감염을 회피할 수 있습니다.
2013년에 들어오면서 Adobe Flash Player, Adobe Reader, Oracle Java와 같은 유명 소프트웨어의 보안 취약점을 이용한 악성코드 유포가 활발하게 이루어지고 있으므로, 항상 사용자 PC에 설치된 프로그램의 최신 업데이트 정보를 체크하여 구버전을 사용하는 일이 없도록 주의하시기 바랍니다.
또한 인터넷을 이용하실 때에는 실시간 검사 기능을 제공하는 보안 제품을 사용하시기 바라며, AhnLab Next V3 보안 제품에서 제공하는 "MDP 사전 보호" 기능을 통해 시스템을 보호할 수 있으므로 참고하시기 바랍니다.