임종철 디자이너 /사진=임종철 디자이너KISA(한국인터넷진흥원)는 과학기술정보통신부와 함께 최근 지속적으로 발생한 해킹 메일 공격에 대한 보안 취약점 상세 분석 보고서를 27일 발표하며 이같이 밝혔다.
KISA는 해커의 공격이 IE(인터넷 익스플로러)의 취약점을 악용해 총 3단계의 과정을 거쳐 수행됐음을 밝혀냈다. 우선 공격자는 공격 대상 사용자를 속이기 위해 악성코드가 삽입된 MS워드 파일을 피싱메일에 첨부해서 보낸다.
MS워드에서 HTML 파일을 처리하기 위해 익스플로러의 스크립트 엔진(JScript9)을 사용하는데 이 엔진의 취약점으로 인해 악성코드가 실행된다(3단계).
해커는 MS워드 등 다른 기존 프로그램에서 HTML 파일을 실행할 때 활용되는 익스플로러 스크립트 엔진 취약점을 악용해 공격했다. MS는 해당 취약점을 확인해 2022년 11월에 보안 패치를 발표했지만 MS오피스 등 일부 소프트웨어에서는 HTML 파일을 실행할 때 여전히 익스플로러의 HTML 해석기능을 사용하는 경우가 있어 언제든 비슷한 형식의 취약점을 악용한 공격이 발생할 수 있는 것으로 지적됐다.
이 시각 인기 뉴스
보고서는 "스피어피싱 메일은 가장 보편적으로 APT(지능형 지속 위협) 공격에 활용되는 방법으로 사용자를 가장 쉽게 속일 수 있다"며 "익스플로러 지원이 종료됐지만 워드, 파워포인트 등이 아직도 옛 익스플로러 모듈을 일부 가져다 쓰고 있기 때문에 여전히 취약점이 발견돼 악용될 수 있다"고 했다.
또 "APT 공격은 이미 공개된 취약점을 사용하기도 하지만 패치가 발표되지 않은 제로데이 취약점을 사용할 수 있어 정기적 보안 업데이트를 수행하더라도 공격에 노출될 수 있다"며 "출처가 불분명한 문서는 열람하지 않고 보낸 사람의 도메인을 잘 확인해 신뢰할 수 있는 사람인지 한번 더 확인하는 게 중요하다"고 했다.
아울러 보고서는 "계정이 탈취된 지인을 통해 스피어피싱 메일이 발송될 수 있으니 감염되지 않도록 한번 더 확인해야 한다"며 "의심이 가지만 읽어봐야 한다면 가상환경에서 열람하거나 보안 전문가를 통해 확인한 후 열람해야 한다"고 당부했다.
이어 "열람한 문서에서 매크로를 실행해야 하거나 보안 경고창이 뜬다면 일단 의심하고 열람을 중지해야 한다"며 "백신은 최신 상태로 유지하고 정기적으로 검사를 수행하며 운영체제는 정기 보안 업데이트를 통해 취약점이 발생하지 않도록 미연에 방지해야 한다"고 했다.
KISA는 지속적으로 취약점 분석을 강화해 침해 사고에 악용될 수 있는 고위험 취약점을 발굴, 피해 예방을 위한 사전 조치를 강화할 예정이다. KISA는 보안 취약점 신고 포상제를 통해 국민들이 사용 중인 앱, 망 연계 솔루션 등에서 발견된 취약점을 조치해 침해 사고로 연계될 가능성을 차단하고 있다.
최광희 KISA 사이버침해대응본부장은 ""국가적 재난 상황에서도 사이버 공격은 끊임없이 발생하고 있으며, 해커는 이슈를 악용해 공격하기 때문에 사이버 위협 대응에 긴장의 끈을 놓쳐서는 안된다"며 "KISA는 앞으로도 지속적인 사이버 위협 모니터링을 통해 사이버 공격의 선제적 대응에 힘쓰겠다"고 했다.
