국내를 표적으로 한 인터넷뱅킹, 온라인 게임핵, 백도어(Backdoor) 계열의 악성코드 유포 방식으로 활발하게 이루어지고 있는 소프트웨어의 취약점(Exploit)을 Drive-By Download 방식의 예방법에 대하여 소개한 적이 있습니다.
취약점(Exploit)을 이용한 악성코드 유포 방식은 사용자가 웹 브라우저를 이용하여 평소 이용하는 웹 사이트를 방문할 경우 자신도 모르게 자동으로 악성코드에 감염되는 공격 방식을 의미하며, 기본적으로 보안 제품의 진단 여부와 상관없이 취약점에 노출된 소프트웨어를 최신 버전으로 사용하고 있다면 문제가 되지 않습니다.
그런데 2013년 하반기경부터 해외를 통해 조금씩 알려진 것으로 기억되는 Microsoft Silverlight 프로그램의 취약점(Exploit)을 이용한 악성코드 유포 행위가 2014년 4월 23일경부터 Angler Exploit Kit을 통해 활발하게 공격에 활용되고 있다는 해외 소식이 전해졌습니다.
알려진 정보를 간략하게 살펴보면 국내와 유사하게 사용자가 웹 사이트를 방문하는 과정에서 노출되는 광고 콘텐츠에 악성 스크립트가 포함되어 있는 문제로 인하여 백그라운드 방식으로 악성 웹 사이트로 리다이렉트가 이루어지며 이를 통해 Angler Exploit Kit에 포함된 Microsoft Silverlight 취약점(Exploit)이 동작하여 XOR 방식으로 암호화된 악성 Silverlight 파일이 로딩되어 최종 파일을 다운로드 및 실행하는 방식이라고 합니다.
- CVE-2013-0074 : Silverlight 이중 역참조 취약점 - MS13-022 보안 패치
- CVE-2013-3896 : Silverlight 취약점 - MS13-087 보안 패치
대표적으로 이용되는 Microsoft Silverlight 취약점(Exploit)은 이미 2013년에 MS 보안 패치를 통해 해결이 된 상태지만 사용자가 Windows Update를 제대로 하지 않은 구버전을 사용할 경우에는 자동 감염이 이루어질 수 있습니다.
이를 통해 해외 사례의 경우 PC 화면을 강제로 변경하여 금전을 요구하는 랜섬웨어(Ransomware), 은행을 표적으로 한 제우스(Zeus) 계열의 악성코드 감염으로 연결되고 있다고 합니다.
그렇다면 Microsoft Silverlight 프로그램은 어떤 환경에서 사용되며 사용자가 취할 수 있는 보안 조치에 대해 알아보도록 하겠습니다.
Microsoft Silverlight 플러그인은 Adobe Flash Player처럼 필수적으로 설치해야 하는 구성 요소가 아니지만, Oracle Java 플러그인처럼 웹 브라우저를 통해 특정 웹 사이트에서 제공하는 콘텐츠를 구현할 수 있는 선택적 프로그램입니다.
예를 들어 인터넷 개인 방송으로 유명한 아프리카TV(afreecaTV)에서는 웹(Web) 방식의 시청을 위해 필수적으로 Microsoft Silverlight 플러그인 설치를 통해 웹 브라우저로 방송을 시청할 수 있도록 제공하고 있습니다.
이렇게 설치된 Microsoft Silverlight 플러그인을 확인해보면 Microsoft Silverlight 5.1.20913.0 버전이 설치되며, 현재 최신 버전은 2014년 3월 보안 패치가 이루어진 Microsoft Silverlight 5.1.30214.0 버전임을 감안한다면 보안상 문제가 될 수 있다고 볼 수 있습니다.
기본적으로 Microsoft Silverlight 프로그램은 Windows Update 기능을 통해 자동 업데이트가 이루어지고 있지만, 일부 사용자의 경우 제공되는 업데이트 항목 중 선별적으로 설치하는 문제로 인하여 적절한 시기에 업데이트가 이루어지지 않을 가능성도 높습니다.
특히 여전히 Microsoft Silverlight 4 구버전이 설치된 상태로 사용하는 경우가 있다는 점에서 Adobe Flash Player, Oracle Java 플러그인 업데이트에만 집중되었던 시선에서 벗어난 Microsoft Silverlight 취약점은 간과될 수 있습니다.
그러므로 제어판 또는 프로그램 목록에 "Microsoft Silverlight" 프로그램이 존재할 경우에는 "제어판 → 시스템 및 보안 → Windows Update → 업데이트 확인" 메뉴를 통해 업데이트가 이루어지지 않은 Microsoft Silverlight 보안 패치가 존재한지 확인하여 항상 최신 버전을 사용하는 습관을 가지시기 바랍니다.
또한 오늘 소식에 따르면 구글 크롬(Google Chrome) 웹 브라우저에서는 Oracle Java, Microsoft Silverlight 플러그인의 보안 문제로 인하여 플러그인(chrome://plugins/)에서 제거하려는 움직임을 보이고 있다는 점도 주목할 필요가 있습니다.
이와 같은 취약점(Exploit) 방식의 악성코드 유포가 몇 년 이상 국내 인터넷 환경에서 일상적으로 발생하는 사이버 공격이 됨에 따라 최근 하우리(Hauri) 보안 업체에서는 바이로봇 APT Shield 2.0 취약점 차단 솔루션을 무료로 제공하고 있으므로 안티 바이러스(Anti-Virus) 제품과 함께 사용하시는 것도 권장합니다.(※ 특히 네이버 백신, MSE 보안 제품 사용자는 필수적으로 설치하시기 바랍니다.)
현재 Microsoft Silverlight 취약점(Exploit)을 이용한 중국 사이버 범죄 조직이 이용하고 있다는 정보는 공식적으로 알려지지 않았지만, 조만간 Exploit Kit에 추가하여 공격자들이 더욱 다양한 PC 환경을 성공적으로 감염시킬 수 있는 웹 공격이 발생할 수 있으므로 사전 예방을 하시고 인터넷을 이용하시기 바랍니다.