국내 (주)한국모바일인증(KMC : Korea Mobile Certification) 업체에서 제공하는 "한국모바일인증 웹 매니저" ActiveX 모듈이 설치된 사용자가 특정 악성코드 유포 시간대에 날씨 정보를 제공하는 "날씨○○" 웹 사이트를 방문할 경우 보안 취약점을 이용한 악성코드 유포가 이루어졌다는 소식입니다.
▷ <KISA 인터넷침해대응센터> 한국모바일인증 인포스캔 원격코드 실행 취약점 보안 업데이트 권고 (2013.10.14)
이에 따라 해당 업체에서는 보안 업데이트를 통해 원격코드 실행이 가능한 취약점 문제를 해결한 업데이트 버전을 공개하였습니다.
대략적인 감염이 이루어질 수 있는 환경을 살펴보면 과거 한국모바일인증 업체에서 제공하는 "한국모바일인증 웹 매니저 1.5" 프로그램을 다양한 웹 사이트(※ 주로 업체 이벤트 또는 제휴 관련 웹 페이지로 추정)를 통해 ActiveX 설치 방식으로 설치를 할 수 있습니다.
"한국모바일인증 웹 매니저" ActiveX 설치 방식을 통해 "InfoScan 개인정보 유출진단 보안 설치 프로그램"이라는 보안 솔루션 프로그램을 설치하게 됩니다.
이렇게 ActiveX 설치를 통한 "InfoScan 무료 개인정보유출진단" 프로그램이 설치된 사용자가 최근에 악의적으로 조작된 특정 웹 사이트(※ 날씨○○)를 방문할 경우 추가적인 특정 조건에 부합하는 PC 환경에서 악성코드 감염이 이루어진 것으로 보입니다.
□ ActiveX 모듈 : 한국모바일인증 웹 매니저 1.0 ~ 1.5 버전 → 한국모바일인증 웹 매니저 1.6 버전
□ 소프트웨어 : InfoScan 무료 개인정보유출진단 2.0.8 버전 및 하위 버전 → InfoScan 무료 개인정보유출진단 2.0.9 버전
▷ <인터넷과 보안 블로그> 날씨 닷컴에 강풍주의보 발령 (2013.10.11)
이를 통해 취약한 버전이 설치된 PC 환경에서 악성코드 감염이 이루어지면 사용자 시스템 정보를 비롯한 정보 유출 및 DDoS 공격 등에 활용될 수 있는 좀비PC로 사용될 수 있습니다.
현재 업체에서는 보안 취약점 문제가 해결된 "한국모바일인증 웹 매니저 1.6" ActiveX 배포와 "InfoScan 무료 개인정보유출진단" 프로그램의 업데이트를 통해 문제를 해결한 상태입니다.
▷ 제큐어웹(XecureWeb Control) 보안 취약점 경고와 해결 방법 (2013.6.6)
하지만 저번에도 소개한 제큐어웹(XecureWeb Control) ActiveX 모듈을 통한 악성코드 유포 사고처럼 언제든지 새로운 취약점으로 재발할 수 있다는 점에서 이들 프로그램을 삭제할 수 있는 방법을 소개해 드리겠습니다.(※ 특히 인포스캔(InfoScan)은 제휴 프로그램으로 배포가 이루어지는 부분이 발견되고 있었기에 사용자의 의지와 무관하게 설치될 수 있었을 것으로 보입니다.)
1. "한국모바일인증 웹 매니저" ActiveX 삭제 방법
Internet Explorer 웹 브라우저의 "추가 기능 관리" 메뉴를 실행하여 생성된 창에서 "다운로드 받은 컨트롤" 항목을 선택하시기 바랍니다.
그러면 "한국모바일인증 웹 매니저 1.X" 목록이 표시되며 해당 항목을 선택하여 "사용 안 함"으로 변경하시기 바랍니다.
그 후 ActiveX 삭제 기능을 제공하는 소프트웨어(※ 국내 보안 제품 또는 시스템 최적화 프로그램)를 이용하여 "ActiveX" 항목에 표시된 "한국모바일인증 웹 매니저 1.X" 항목을 선택하여 삭제하시면 됩니다.
Daum 클리너 프로그램의 경우에는 "PC 관리 → ActiveX" 메뉴를 선택한 후 "한국모바일인증 웹 매니저 1.X" 항목을 찾으시면 되며, 만약 목록에 표시되지 않는다면 "최근 60일 내로 사용된 ActiveX 숨기기" 체크를 해제하시고 표시된 항목을 선택하여 삭제를 진행하시면 됩니다.
참고로 ActiveX 모듈은 사용자가 해당 ActiveX가 동작하는 웹 사이트에 접속시 자동으로 동작하는 기능을 가지고 있으므로 삭제를 하여도 아무런 문제가 되지 않으며, 필요시에만 이용하는 웹 사이트에서 제공하는 ActiveX를 재설치하여 사용하시면 됩니다.
또한 국내에서 사용자 수가 많은 ActiveX 모듈의 보안 취약점을 이용한 악성코드 유포가 발생하고 있는 환경에서 불필요한 ActiveX는 삭제를 하시고 PC를 사용하시는 것이 보안상 안전합니다.
2. "InfoScan 무료 개인정보유출진단" 프로그램 삭제 방법
"InfoScan 무료 개인정보유출진단" 프로그램은 ActiveX 또는 제휴 프로그램을 통해 설치가 이루어지고 있으며, 이로 인하여 일부 사용자들은 최초 설치시 제대로 확인하지 않은 상태로 설치된 경우도 있으리라 판단됩니다.
그러므로 인포스캔(InfoScan) 프로그램을 적극적으로 활용하지 않은 상태로 설치만 되어 있다면 제어판의 "InfoScan 무료 개인정보유출진단" 삭제 항목을 찾아 프로그램을 삭제하시기 바랍니다.
또한 프로그램 사용을 계속할 의향이 있는 사용자는 프로그램의 버전을 확인하여 취약한 버전인 경우에는 최신 버전으로 업데이트를 하시고 사용하시기 바랍니다.