보안

"가장 인기 있는 공격 표적은 브라우저 아닌 MS 오피스"

Andrada Fiscutean | CSO 2020.07.29
마이크로소프트는 사이버 범죄자가 선호하는 공격 플랫폼이 됐으며, 사건 발생 건수는 계속 늘고 있는 것으로 나타났다. 카스퍼스키 랩의 연구진 보리스 라린과 블라드 스톨랴로프, 알렉산더 리스킨이 최근 시큐리티 애널리스트 서밋(Security Analyst Summit) 행사에서 지난 2년 동안 위협 환경의 변화에 대한 보고서를 발표하고, 사용자는 감염 위험을 줄이기 위해 소프트웨어를 최신으로 유지하고 신뢰할 수 없는 출처에서 온 파일은 열지 말라고 조언했다.
 
© Getty Images Bank

보고서에 따르면, 카스퍼스키 랩이 발견한 전체 공격의 70% 이상이 마이크로소프트 오피스를 대상으로 했으며, 14%만이 브라우저의 취약점을 이용했다. 2년 전만 해도 그 반대였다. 웹 기반 취약점 공격은 45%, 마이크로소프트 오피스는 16%였다.

연구진은 브라우저 취약점을 악용한 공격이 줄어든 이유로 브라우저 보안이 향상되면서 해킹이 더 어려워졌기 때문이라고 분석했다. 그들은 “브라우저 개발자는 다양한 종류의 보안 보호 및 완화에 큰 노력을 기울였다. 결국 공격자는 새로운 대상을 찾았고, 마이크로소프트 오피스가 주요 공격 대상으로 떠올랐다"라고 설명했다.

라스킨에 따르면, 사이버 범죄자가 널리 쓰이는 제품군을 공격 대상으로 선택하는 이유는 다양하다. 그는 “마이크로소프트 오피스는 파일 형식이 매우 다양하고, 윈도우 운영체제에 긴밀하게 통합돼 있다”고 말했다. 그런데 마이크로소프트는 오피스를 개발할 때 현재 보안 측면에서 최선이 아니고 변경하기도 어려운 몇 가지 결정을 내렸다. 이제 와서 이를 바꾸면 모든 버전의 오피스 제품에 심각한 영향을 미치는 상황이다"라고 말했다.

보안 업체 소닉월(SonicWall)의 2020년 7월 최신 보고서에도 이런 추세를 확인할 수 있다. 오피스가 공격에 악용되는 사례가 증가하고 있다. 이제는 악성코드 전달 메커니즘으로 PDF보다 오피스 파일이 더 많아, 전체 악성코드 파일 형식 중 PDF가 10.7%, 오피스는 22.4%를 차지한다. 반면 소닉월 보고서에는 희망적인 부분도 있다. 2020년 상반기가 끝나는 시점에서는 탐지된 악성 오피스 파일 수가 조금 감소했다는 점이다. 그러나 이는 악성코드 방지 도구를 우회하고, 샌드박스 디버깅과 분석을 방해하는 악의적인 엑셀 파일을 배포하는 새로운 기술이 발견됐기 때문이다.

카스퍼스키 연구진에 따르면, 지난 2년간 가장 많이 악용된 취약점은 마이크로소프트 오피스 자체가 아니라 관련 구성 요소에 있었다. 그중 두 가지 취약점  CVE-2017-11882와 CVE-2018-0802는 수식 편집기에서 발견된 버그를 악용한다. 그리고 지난 17년간 출시된 모든 버전의 마이크로소프트 워드에 사용돼 사이버 범죄자가 쉽게 악용한다. 더구나 수식 편집기에는 최신 보호 및 완화 기능이 없어 숙련된 기술이 없어도 악용할 수 있다. 세부 내용을 들여다보지 않아도 매우 심각한 상황인 것을 알 수 있다.
 

인터넷 익스플로러를 악용해 오피스를 해킹하는 공격

또 다른 흥미로운 취약점은 CVE-2018-8174다. 이 취약점은 실제로 인터넷 익스플로러에 있지만 공격은 오피스 파일에서 발견된 매우 특이한 경우다. 라린은 “이 취약점 공격은 난독화된 RTF 문서로 전달됐다. 이는 인터넷 익스플로러의 취약점을 악용해 마이크로소프트 오피스를 해킹하는 첫 번째 공격이다”라고 말했다.

감염 경로는 3단계다. 먼저, 피해자는 악성 파일을 연다. 두 번째 단계인 VBScript 코드가 포함된 HTML 페이지가 다운로드된다. 그러면 3번째 단계, UAF(Use-After-Free) 취약점이 시작되고 셸 코드가 실행된다. UAF 버그는 과거에 브라우저 악용에 널리 사용된 메모리 손상 취약점 중 하나다. 이를 이용하면 메모리가 해제된 후 메모리를 참조해 소프트웨어 충돌을 일으키거나 공격자가 코드를 실행할 수 있다.

라린과 스톨랴로프, 리스킨이 조사했던 사례에 대해 가장 흥미를 끄는 것은 사이버 범죄자의 속도다. 대부분은 마이크로소프트 오피스 제로데이(zero day)에 시작돼, 일단 정기 패치가 공개되면 단 며칠 내에 다크웹에 취약점 공격이 나타나는 식이다. 때로는 CVE-2017-11882처럼 더 빠를 수도 있다. 카스퍼스키 랩 연구진이 발견한 최초의 오피스 수식 편집기 취약점으로, 개념 증명이 공개된 후 바로 같은 날에 대규모 스팸 캠페인이 발생했다.

마이크로소프트 오피스 취약점은 공격자가 계속 노리고 있으므로 머지않아 더 확산할 수 있다. 라린은 사용자에게 소프트웨어를 최신으로 유지하고, 의심스러운 이메일 주소에서 받은 파일을 조심하도록 조언했다. 그는 “신뢰할 수 없는 소스에서 받은 링크와 파일은 열지 말고 취약점 공격 사전 탐지 기능의 보안 솔루션을 설치하는 것이 좋다”라고 말했다. editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.