2분기 위협 동향 보고서 공개
'최신 패치 적용'이 예방법
코로나19로 인해 화상회의 사용이 확산되자 서비스 프로그램의 취약점을 악용하는 사이버 공격이 발생하고 있다. 피해를 방지하기 위해서는 취약점 패치 등의 조치를 조속히 취해야 한다.
한국인터넷진흥원(KISA)은 이 같은 내용의 '2020년 2분기 사이버 위협 동향 보고서'를 최근 공개했다.
보고서에 따르면, 코로나19 사태로 인해 화상회의 프로그램인 줌(Zoom) 사용이 늘면서 이 프로그램의 취약점을 악용하는 위협 사례가 발생하고 있다.
클라우드 기반의 화상회의 프로그램으로 시작한 Zoom은 편리한 기능과 다양한 회의 방식을 선보이면서 각광받는 프로그램이 됐지만 사용자가 급격히 증가하면서 공격자의 목표가 됐다는 것이다.
기존 화상회의 시스템은 전용 장비를 기업에 설치하고 이 장비에 접속해서 화상회의를 진행하는 방식이었기 때문에 폐쇄 네트워크에서 운영 중이라 보안 취약점이 나오더라도 큰 영향을 주지 못했다.
하지만 Zoom은 전용 프로그램을 개인 컴퓨터에 설치하고 클라우드에 위치한 Zoom 서버에 접속해서 전세계 모든 사람과 화상회의를 하는 방식이다.
따라서 만일 Zoom 프로그램에 취약점이 존재하는 경우 △화상 회의 음성·영상 정보 탈취 △허가 받지 않은 회의 참가 △사용자 컴퓨터 불법 제어 등이 발생할 수 있다.
실제로, Zoom에서는 이모티콘으로 그림 파일을 사용하는데 이를 가장한 악성코드를 내려받게 하는 수법으로 컴퓨터 제어권을 장악할 수 있는 취약점이 발견됐다.
원격근무자의 컴퓨터가 점령되는 경우 공격자는 손쉽게 기업의 내부망으로 침투할 수 있는 경로를 획득할 수 있는 것이다.
마이크로소프트사의 윈도 운영체제(Windows OS) 취약점도 발견됐다.
윈도 커널의 메모리 객체 처리 과정과 그래픽 디바이스 인터페이스(GDI)의 처리 과정에서 권한 상승이 가능한 취약점이다.
공격자는 이 취약점을 이용해서 커널모드에서 임의의 코드를 실행시킬 수 있으며 프로그램 설치, 데이터 변경·삭제·조회, 계정 생성도 할 수 있게 된다.
현재 사용중인 윈도 10 버전이 낮은 경우 해당 취약점에 대한 패치를 제공받지 못할 수 있다. 따라서 단순 패치가 아닌 기능 업데이트를 설치해서 운영체제 버전을 높여야 한다고 KISA는 강조한다.
만약 윈도 10보다 이전 OS인 윈도 8.1, 7, 비스타(Vista), XP 등을 사용하고 있다면 가급적 빨리 윈도 10으로 OS를 바꾸는 것이 좋다.
'NXNSAttack'이라는 분산 서비스 거부 공격(Distributed denial of service attack, DDoS)도 주의해야 한다.
이스라엘 텔아비브 대학교의 연구원들에 의해 소개된 이 공격 기술은 존재하지 않는 도메인의 네임서버를 이용, 도메인 질의를 증폭해서 DNS 서버를 공격하는 수법이다.
이 공격을 방어할 수 있는 패치가 적용되지 않은 DNS 인프라는 공격에 악용될 수 있다.
또한, 증폭된 도메인 질의는 DNS의 성능을 저하시키는데 이로 인해 공격 목표 권한 서버는 정상 도메인 질의에 응답을 못할 수 있다.
이에 따라 사용자는 웹서비스가 정상 동작하는 중이라도 IP 주소 값을 받지 못해서 해당 서비스에 접속할 수 없게 되는 것이다.
파이썬이라는 프로그래밍 언어로 작성된 오픈소스 IT 인프라 관리도구 'SaltStack'의 보안취약점도 발견됐다.
해커가 취약점을 악용하면 사용자 인증 없이도 임의 명령어 실행 같은 내부 기능을 사용할 수 있게 된다.
또한, 디렉터리(폴더) 경로를 적절하게 검사하지 않아서 인증 받은 사용자가 모든 디렉터리를 무제한 접근할 수 있는 취약점도 나왔다.
KISA는 이 취약점에 의해 데이터센터 수천곳이 위험에 처할 수 있다고 경고하고 있다.
취약점 문제 해결을 위해서는 보안 문제가 해결된 패치를 신속히 설치하고, 인터넷에서 SaltStack을 접속해서 사용 중이라면 해당 포트를 차단하고 VPN 같은 허가된 원격 채널에서만 접속하도록 접근통제를 강화해야 한다.
KISA는 "이들 보안 취약점은 공격을 시행하는 시작점이자 공격자의 공격 경로로 악용될 수 있으므로 최대한 빨리 제거하는 것이 바람직하다"고 강조했다.
