자바 제로데이 취약점이 발표되면서 악성코드 유포가 급증할 것으로 예상된다. 이에 빛스캔(대표문일준)은 지난 8월 24일 저녁부터 국내외 웹사이트에서 새로운 자바 취약점을 이용한 악성코드 유포가 급격하게 증가했다고 밝히고 KAIST CSRC(사이버보안연구센터)와 공동으로 분석, 정리한 내용을 공개했다. 이를 통해 심각성을 인식하고 정부기관과 기업 뿐만 아니라 개인들도 상당한 주의를 기울여야 한다고 강조했다.
 
빛스캔 자료에 따르면, 최초로 발견된 시점은 24일 저녁 8시 경, P2P 사이트 중 하나인 레드파X 웹사이트이다. 동적 분석을 통해 분석된 자료를 바탕으로 악성코드유포지 차단장비인 큐브디펜스(트라이큐브랩)에 긴급 업데이트되어 대응되었다. 이후 익스플로잇과 악성코드(바이너리)를 추가 분석, 새로운 제로데이 취약점임을 확인하고 Oracle/MITRE에 이메일로 통지했다고 한다.
 
분석 결과, 취약점은 sun.awt.SunToolit 클래스의 getField 메소드를 통해 JAVA Security Manager를 우회하는 방법을 통해 코드를 실행시킨다. 알려진 바로는 수개월 전에 이 취약점에 대해 일부 보안 전문기업에서 언급한 바가 있었다고 주장하기도 하지만 제로데이 발생시까지 문제점에 대한 인식 및 패치가 없었기 때문에 큰 의미를 두긴 어렵다는 것이 빛스캔 입장이다.
 
악성코드 유포 사이트는 정확히 말하면 해킹된 이후 악성코드 유포지로 활용되기 때문에 지속적으로 유포지로 활용되고 있어 심각한 상황이다.
 
국내 130여만개 사이트를 모니터링 하며 악성코드 유포지를 검출해 내고 있는 빛스캔 PCDS(Pre-Crime Detect System) 분석자료에 따르면, 이번에 유포지로 사용된 국내 사이트로는 중소기업에서 널리 사용하는 ERP 프로그램 더존의 공식 지정 교육기관인 더존비X, 컴퓨터 쿨러로 유명한 잘만테X, 연예 패션 브랜드 마리끌레X 등 최소 69개로 확인되었다.
 
또한 여름 휴가철에 많이 방문하는 여행 사이트 중 하나인 자라X 등도 포함되었고, 그 외 언론사, P2P, 커뮤니티 사이트 등 적어도 하루에 수천명 이상 방문하는 사이트들에서 유포한 것이 밝혀져 적어도 국내 수십만대 PC가 이번 자바 제로데이 악성코드 피해를 입었을 것으로 추정된다.
 
가장 많은 피해를 준 악성코드 유포지는 ‘http://205.164.25.188/pic/pic.html’이며, 국내외 최소 20여 웹사이트에서 유포된 것으로 나타났다. 카이스트 사이버보안연구센터의 전문 분석을 통해 게임 계정 탈취가 목적인 것으로 확인됐다.

 
더욱이 이번 공격형태는 새로운 자바 취약점만으로 공격하는 단순한 형태가 아니라 기존 자바 취약점도 함께 이용하는 방식을 통해 효율성을 극대화했다고 볼 수 있다.
 
따라서 감염성공율도 기존 60% 정도에서 자바 제로데이를 함께 사용함으로써 적어도 75% 이상될 것으로 추정하고 있다. 자바 제로데이와 함께 사용된 자바 취약점은 다음과 같다.

-CVE-2011-3544
-CVE-2012-0507
-CVE-2012-1723

특히 자바 취약점을 이용하는 공격은 취약한 웹사이트에 악성코드를 유포하는 URL을 교묘하게 숨겨두고 사용자가 브라우저를 통해 해당 사이트를 방문하면서 사용자의 설치 안내나 인지 없이 즉시 감염되는 드라이브바이다운로드(Drive-by-Download) 공격이 사용된 것으로 밝혀졌다.
 
빛스캔 관계자는 “자바는 윈도, 맥, 리눅스 등 PC 운영체제뿐만 아니라 안드로이드와 같은 모바일 운영체제에서 지원한다”며 “뿐만 아니라 자바는 IE뿐만 아니라 크롬, 사파리, 파이어폭스까지 국내에서 사용할 수 있는 거의 모든 브라우저를 지원하기 때문에 자바 제로데이 취약점의 영향력은 윈도우 보안 패치보다 훨씬 크다”고 우려했다.
 
더불어 “현재까지 자바 제로데이 취약점을 완벽히 대응할 수 있는 방안은 없다. 최종 다운로드되어 실행되는 악성코드 파일을 안티바이러스와 같은 보안 제품이 진단해 예방 및 치료하는 방법도 있지만 현실적으로 어렵다”며 “제로데이의 특성상 오라클에서 패치를 제공하지 않는 한 꾸준히 공격이 발생할 것으로 예상된다. 긴급 대안으로는 자바의 실행을 중지시키는 방법이 현재로선 유일하다”고 주의를 당부했다.
 
<브라우저별 설정(임시 패치) 추가 방법>
-MS Internet Explorer:
[도구]-[인터넷 옵션]-[보안]-[사용자 지정 수준]-[스크립팅]-[Java 애플릿 스크립팅]을 ‘사용 안 함’으로 선택
 
-Mozilla Firefox:
[도구]-[부가 기능]-[플러그인]-[Java(TM) Platform SE]을 ‘사용 안 함‘으로 선택
 
-Google Chrome:
[도구]-[설정]-[고급]-[컨텐츠설정]-[플러그인] – 개별 플러그인 사용 중지 선택 후 Java 사용 중지
 
그 외 관련자료는 아래 링크를 참고하면 된다.
-countermeasures.trendmicro./(영문자료)
-hummingbird.tistory.com/4041(한글자료)
 
데일리시큐 길민권 기자 mkgil@dailysecu.com