신규 제로데이 웜 공격 등장

윈도DNS서버 취약점 악용한 웜 등장...추가 변종 가능성 높아 '주의'

아직 보안패치가 채 발표되지도 않은 마이크로소프트의 윈도DNS 서버 신규 취약점을 이용한 제로데이(0-day) 웜이 발견됐다. 특히 현재 추가 변종이 발생할 가능성이 높아 기업 및 이용자들의 철저한 주의가 당부된다.

18일 보안업체인 잉카인터넷에 따르면, 이날 새벽 해외에서 윈도 DNS (Domain Name Service)서버의 취약점을 악용한 제로데이 웜이 유포되고 있는 것이 확인됐다.

이번에 발견된 취약점은 MS사가 아직 정식 패치파일을 내놓지 않은 최신 보안 취약점으로 지난 12일 이 취약점이 첫 보고된 이래 무려 6일 만에 이를 이용한 악성코드가 등장한 셈이다.

이번에 유포되는 웜은 윈도DNS 서버의 신규 취약점을 악용해 전파되는 웜으로, 감염되면 특정 해외사이트에 접속돼 'radi.exe'와 'mozila.exe', 'ntoepad.exe' 등의 파일을 다운로드 받는다. 'radi.exe'와 'mozila.exe' 등은 현재 해당사이트가 차단됐지만, 이날 새벽 2시30분경 발견된 'ntoepad.exe'는 현재 정상 작동 중인 것으로 알려졌다.

현재 이 취약점에 악용될 수 있는 시스템은 MS 윈도 2000 서버 SP4, MS 윈도 서버 2003 SP1/SP2 등으로, 이들 윈도 시스템을 사용하는 기업 관리자들은 더욱 철저한 주의가 당부되고 있다.

시스템에 침투한 웜은 곧바로 네트워크에 물려있는 또다른 취약점 서버를 스캐닝하기 때문에 시스템이 급격히 느려질 수 있다. 공격자는 이같은 방식으로 웜을 유포한 뒤 일종의 채팅사이트인 'IRC' 채널을 이용해 또다른 악성코드를 유포하거나, DNS정보를 바꿀 수 있는 것으로 알려졌다.

잉카인터넷 시큐리티 대응센터는 해당 웜에 대한 긴급 업데이트를 진행했으며, 추가적인 변종에 대한 대응감시 체제를 한 단계 상향조정했다.


한편, MS 윈도DNS서버 취약점은 해커가 임의로 DNS 주소정보를 삭제하거나 변경해 정상적인 인터넷 서비스를 중지시키거나 악의적인 사이트로 접속을 유도할 수 있는 취약점.

가령, 공격자가 DNS서버를 해킹해 국내 은행들의 DNS 정보를 바꿔놨을 경우, 해당 DNS서버에 물려있는 PC 사용자가 평소 다니던 은행 사이트를 브라우저에 직접 입력하더라도 해커가 미리 설정해놓은 피싱 사이트에 연결될 수 있다.



DNS 서버란 사람이 기억하기 쉬운 도메인 네임(예: www.kisa.or.kr)을 PC가 인식할 수 있는 IP주소(예: 123.123.123.1)로 변환해 주는 서버로, 인터넷 사용시 없어서는 안 될 중요한 서버다.