본문 바로가기

벌새::Security

제큐어웹(XecureWeb Control) 보안 취약점 경고와 해결 방법 (2013.6.6)

금융권을 비롯한 다양한 웹 사이트에서 ActiveX 설치 방식으로 제공하는 제큐어웹(XecureWeb Control) 보안 솔루션의 취약점을 이용하여 악성코드 유포 행위가 지속적으로 발생하고 있는 것으로 확인되고 있습니다.

 

  <KISA 인터넷침해대응센터> 제큐어웹 ActiveX 원격코드 실행 취약점 보안 업데이트 권고 (2013.6.5)

KISA에서 제공하는 보안 공지에 따르면 사용자 PC에 "제큐어웹(XecureWeb Control) 7.2.6.5 버전 및 하위 버전"이 설치된 환경에서 악의적으로 제작된 웹 사이트에 방문할 경우, 제큐어웹(XecureWeb Control)의 보안 취약점을 이용하여 원격 코드 실행이 가능하다고 밝히고 있습니다.

 

이를 통해 감염된 시스템에서는 백도어(Backdoor) 등과 같은 악성코드를 통해 정보 유출 등의 문제가 발생할 수 있으며, 현재 해당 취약점을 악용한 침해 사고가 발생하고 있다고 합니다.

 

이에 실제 제큐어웹(XecureWeb Control)의 취약한 버전 사용이 어느 정도로 이루어지고 있는지에 대해 IBK 기업은행 인터넷뱅킹 웹 사이트를 통해 테스트를 진행해 보았습니다.

 

해당 사이트에 접속하면 ActiveX 설치 방식을 통해 다양한 보안 솔루션을 설치하며, 그 과정에서 소프트포럼(SoftForum)에서 제공하는 "[Web Security Program] XecureWeb Control v7.2"를 함께 설치하게 됩니다.

일반적으로 이런 보안 솔루션이 설치 완료되는 과정에서 XecureWeb 모듈을 모든 웹 사이트에서 동작하도록 설정할지 여부를 묻는 창이 생성되며, 대부분의 사용자들은 편의를 위해 "예(확인)"를 클릭하여 모든 웹 사이트에서 XecureWeb Control 보안 모듈이 실행될 경우 자동으로 실행되도록 설정합니다.

 

하지만 최근과 같은 XecureWeb Control 프로그램의 보안 취약점 문제가 부각되고, 악의적인 공격이 빈번하게 발생하는 현실에서 자동으로 실행되지 않도록 "아니오(취소)" 버튼를 클릭하여 제한된 웹 사이트에서만 XecureWeb Control 프로그램이 실행되도록 하시는 것을 권장합니다.(※ 실제 제큐어웹(XecureWeb Control) 보안 취약점을 악용한 웹 사이트 접속시에는 실행 여부를 묻지 않고 자동 감염이 이루어질 수 있을 것으로 추정됩니다.)

참고로 제한된 웹 사이트에서만 제큐어웹(XecureWeb Control)이 동작하도록 설정한 경우에는 다른 웹 사이트에서 제큐어웹(XecureWeb Control)의 실행을 위해서는 웹 브라우저에 그림과 같은 실행 여부를 묻는 창이 생성되어 사용자가 시각적으로 인지할 수 있습니다.

제큐어웹(XecureWeb Control) 프로그램이 허용된 웹 사이트에 접속을 하면 시스템 트레이 알림 아이콘 영역에 자물쇠 모양의 아이콘이 생성되며, "ClinetSM 정보"를 확인해보면 "Control Version 7.2.5.8" 버전으로 표시되어 있는 것을 확인할 수 있습니다.

자세한 버전 정보를 확인하기 위해서는 웹 브라우저의 "추가 기능 관리"에 등록된 "도구 모음 및 확장 프로그램" 메뉴에서 "다운로드 받은 컨트롤"을 선택하여 "XecureWeb 4.0 Client Control" 항목을 선택하시면 버전 정보를 확인할 수 있습니다.

 

즉, 현재 IBK 기업은행 인터넷뱅킹 웹 사이트에서 제공하는 제큐어웹(XecureWeb Control) 보안 솔루션은 KISA에서 안내하는 "제큐어웹(XecureWeb Control) 7.2.6.5 버전 및 하위 버전"을 사용하고 있으며, 이렇게 설치된 PC 환경에서 사용자가 특정 악의적으로 조작된 웹 사이트를 방문할 경우 악성코드 감염에 노출될 수 있다는 의미입니다.

 

  <디지털데일리> “제큐어웹은 3.20 해킹과 무관”…누명벗은 소프트포럼 (2013.4.10)

 

해당 문제가 왜 중요한지 살펴보면 우선적으로 대다수의 인터넷 사용자는 금융 결제를 위해 제큐어웹(XecureWeb Control) 보안 솔루션을 설치한 PC 환경이라는 점으로 점유율이 상당히 높습니다.

 

이런 높은 점유율과는 반대로 제큐어웹(XecureWeb Control) 보안 솔루션은 2013년 3월 20일에 발생한 사이버 공격의 빌미를 제공하였다는 점(※ 업체에서는 3.20 해킹과는 무관하다고 밝힌바 있습니다.)과 보안 취약점을 악용하여 악성코드 유포에 활용되고 있다는 점이 문제가 되고 있습니다.

이에 소프트포럼은 “우선 전산망 해킹을 당한 6개 기관은 제큐어웹의 고객사가 아니다”라며 “문제시되고 있는 제큐어웹 취약점에 대한 패치는 지난해 7월 이미 모두 완료된 상태다. 이번에 발견된 문제점은 보안패치를 내려받지 않은 몇몇 사용자들의 문제로 파악된다”고 해명했다.

해당 언론 기사에서는 2012년 7월 제큐어웹(XecureWeb Control) 취약점에 대한 보안 패치가 완료되었다고 밝히고 있는 부분을 통해 그 이전 시점에서 제큐어웹(XecureWeb Control) 취약점을 이용한 악성코드 감염이 가능한 상황이 일정 기간 지속되었을 가능성이 높습니다.

 

그리고 이번에 추가적으로 발견된 제큐어웹(XecureWeb Control) 취약점을 이용한 침해 사고가 또 발생하고 있다는 점에서 제큐어웹(XecureWeb Control) 보안 솔루션을 서비스하는 다양한 웹 사이트의 대응은 큰 문제가 되고 있습니다.

특히 IBK 기업은행 인터넷뱅킹에서 제공하는 제큐어웹(XecureWeb Control) 관련 파일(C:\Program Files\SoftForum\XecureWeb\ActiveX)을 확인해보면 2012년 7월에 보안 패치가 된 이후 이번에 알려진 보안 취약점에 대한 보안 패치가 적용된 최신 버전(XecureWeb Control 7.2.6.6 버전 및 상위 버전)이 아닌 상태로 유지되고 있습니다.

 

비단 해당 은행 사이트에서만 이런 문제가 발생하는 것이 아니라 대학교를 비롯한 다양한 제큐어웹(XecureWeb Control) 보안 솔루션을 제공하는 웹 사이트에서도 확인되는 심각한 문제입니다.

 

그러므로 사용자들은 다음과 같은 방식으로 제큐어웹(XecureWeb Control) 프로그램의 사용 방식을 변경하시기 바랍니다.

 

(1) 웹 브라우저의 추가 기능 관리에 등록된 "XecureWeb 4.0 Client Control" 버전을 확인하여 "XecureWeb Control 7.2.6.5 버전 및 하위 버전"인 경우에는 제어판에 등록된 "XecureWeb Control" 삭제 항목을 이용하여 삭제하시기 바랍니다.

 

(2) 금융권 등 웹 사이트 방문시 제큐어웹(XecureWeb Control)을 반드시 설치해야 할 경우에는 1회 설치하여 웹 사이트 서비스를 이용한 후 제어판에서 "XecureWeb Control" 삭제 항목을 찾아 삭제하시기 바랍니다.

 

결론적으로 제큐어웹(XecureWeb Control) 보안 솔루션은 과거, 현재 그리고 미래에도 지속적인 보안 취약점을 악용한 사이버 공격에 활용될 수 있으므로 되도록 필요한 시점에서만 설치하여 사용한 후 삭제를 하시는 것을 강력하게 권장합니다.

 

Adobe Flash Player와 같은 유명 소프트웨어도 제로데이(0-Day) 보안 취약점을 이용한 악성코드 감염에 활용되고 있으며 프로그램 특성상 인터넷 이용시 반드시 필요한 프로그램인데 반하여, 제큐어웹(XecureWeb Control) 보안 솔루션은 특정 웹 사이트에서 제한된 환경에서만 동작하는 프로그램이므로 필요시에만 설치한 후 삭제 처리를 하는 것이 현재로서는 가장 안전한 사용 방법이 아닐까 싶습니다.

  • 나홀로집에 2013.06.06 14:19 댓글주소 수정/삭제 댓글쓰기

    온라인보안솔루션들을 보면 각 금융권마다 제품버전이 제각각이더라고요.
    같은회사 같은이름의 제품인데도 불구하고 A사에서 1.1을 설치했다면 B사에 접속하였을 때 같은프로그램이므로 바로 실행되어야 하지만,실상은 제품이 재설치되고 그와동시에 1.2로 올라가 있는것을 볼 수 있죠.

    그럼 A사의 1.1 과 B사의 1.2 가 되는건데, 같은제품인데 A사는 왜 1.2로 버전이 안올라가는것인지 아리송하더라고요. 원제작자 홈페이지 제품소개란을 보면 친절하게 최신버젼으로 자동업데이트가 된다고 써있지만 실상은 업뎃기능이 정상적으로 동작하지 않는것으로 보입니다. 아니면, 애시당초 계약당시에 업뎃기능을 뺀것인지.

    웃긴것은 오로지 A사만 이용한다고 가정했을 때, 1.1이 몇년이 지나도 1.2로 자동업데이트는 되지 않는다는것이지요. 업뎃하려면 최신버젼이 적용되어 있는 홈페이지를 방문하는 방법뿐...;;

    마지막으로 버그인지 원래 의도인지는 모르겠으나 제큐어웹이 적용된 금융홈페이지 방문 후 브라우저를 닫아도 여전히 트레이에 살아있다는점인데 이거 은근히 신경쓰이더라고요. 수동으로 닫기를 눌러야 꺼지던..;;

    • 제가 봐서는 각 웹 사이트별로 버전이 다른 것 같습니다. 일괄 업데이트 방식이 아닌 것 같기도 하고.. KISA 보안 공지가 제품 업데이트 전에 먼저 올라왔을 수도 있지만 지금 상황에서는 침해 사고가 발생하고 있는데 이런 식이면 정말 곤란하죠.

  • 전그냥 다른 노틉북에 온라인뱅킹전용으로 만들고나서 은행이용할때만 보안프로그램을설치하고 이용이끝나면 해당보안프로그램만 지워버리고 개인적으로 설치한 보안프로그램만 사용하고있습니다.

  • ntw 2013.06.06 19:59 댓글주소 수정/삭제 댓글쓰기

    전 실제 환경에는 플래시만 깔고 나머지 ActiveX 등은 몽땅 가상머신에 깔아서 쓰고 있습니다. 바로 작업할 수 있는 상태에서 스냅샷을 찍어놓고 볼일 끝나면 이전 상태로 되돌려 놓는 거죠. 설치/제거하느라 지저분해지지도 않고, 특정 목적에 맞게 최적화된 환경이니 호환성 문제나 오류가 발생하는 경우도 적고, 시간도 절약되는데다, 보안상 나은 면도 있으니 만족하며 쓰고 있습니다.
    버전 얘기 공감합니다. XecureWeb은 하위 버전과 호환이 되니 그나마 양반이고요. INISAFE Web은 호환되지 않는 버전이 너무 많습니다. 심지어 어떤 공인인증 프로그램은 특정 증권 사이트의 어느 페이지로 들어가느냐에 따라 설치되는 버전이 다르더군요. -_- 모든 웹사이트가 같은 버전을 쓰는 프로그램은 AOS 말고는 본 적이 없네요.

  • 최키럽 2013.06.07 14:02 댓글주소 수정/삭제 댓글쓰기

    별새님 안녕하세요 늘~ RSS로 등록하여 매일매일 눈팅하는 보안담당자 입니다.

    늘 노력하시는 모습에 감사의 인사를 드리며, 위 내용의 대하여 금번 사고와 저희 회사와 어느정도 연관되어 있어서 내용을 어느정도 발췌를 하고 싶은데 괜찮으신지요??

    취약점에 대해서 어느정도 테스트를 해봤더니 아직도 안되어 있는 기업들이 꽤 많네요...

    회사내에 전파 하고 싶은데 위 내용을 어느정도 샘플링하고 싶은데 가능한지 답변좀 부탁드려요^^