금년들어 벌써 ‘취약점’ 대거 발생…보안 당국 ‘발표’

[애플경제 이보영 기자] 금년 들어 악성 코드나 악성 페이로드로 피해를 끼치는 취약점들이 잇달아 발견되어 당국이 이를 경고하고 나섰다. 이들은 주로 원격코드 실행의 취약점이나 임의 파일 삭제, 악성 파일 생성 등의 취약점을 지닌 것으로 드러났다. 특히 지난 2월 이후 3월 초에 걸쳐 집중적으로 드러난 점을 보면, 신학기와 기업체들의 신년업무가 본격화되는 시기와 맞물리는 것으로 해석될 수도 있다.

한국인터넷진흥원 인터넷 보호나라에 따르면 우선 ‘가비아 퍼스트몰’ 원격 코드 실행 취약점이 발견되었다. 최근 사용자들의 제보에 의하면 이는 가비아사의 퍼스트몰에서 파일명과 파일경로 등 입력 값에 대한 검증이 미흡하여 발생하는 원격 코드 실행 취약점이다.

이는 우선 ‘퍼스트몰’에서 사용자의 여러 가지 입력 값(파일 확장자, 파일 경로 등)에 대한 검증이 미흡해 공격자가 악의적인 목적을 가진 코드 실행이 가능하다. 이때 공격자는 확장자 검증을 수행하지 않는 ‘navercheckout_add’ 함수를 통해 악성 파일을 업로드한다. 그 후 “게시글 삭제 기능과 쓰기 기능이 입력 값을 검증하지 않는 것을 악용, 정상적으로 검증을 수행하는 설정 파일을 삭제함으로써 자신이 원하는 악의적인 코드를 실행할 수 있도록 한다”는 설명이다.

이는 퍼스트몰 가운데 주로 다국어 최신 버전의 윈도우 제품이 영향을 받는 것으로 전해졌다. 이를 해결하기 위해선 취약한 버전의 제품 이용자는 퍼스트몰 홈페이지의 ‘고객센터 – 패치리스트’에서 해당되는 패치를 적용하면 된다.(https://www.firstmall.kr 참고)

인터넷보호나라 침해사고분석단 취약점분석팀에 의하면 또 ‘BigFileAgent 프로그램’ 임의 파일 삭제 취약점도 밝혀졌다. ㈜블루트리社의 ‘BigfileAgent.exe’를 통해 BigFile 이용자 PC 내 임의 파일을 삭제할 수 있는 취약점이다. 이는 경로 탐색 취약점으로 임의파일을 삭제하는 높은 수준의 심각도를 보인다.

‘BigFileAgent’의 ‘DeleteFileSys’ 기능에서 ‘FileName’ 파라미터에 ‘PathTraversal’ 문자(../../)를 입력한 경우 개발자가 의도하지 않은 디렉토리 내 파일에 접근할 수 있다. 공격자는 본인의 웹 사이트에 ‘BigFileAgent’로 ‘DeleteFileSys’를 호출하는 악성 페이로드를 삽입해 방문자의 PC 내 임의 파일을 삭제할 수 있다. 이는 1.0.1.7 및 그 이전 윈도우 버전의 ‘BigFileAgent’가 영향을 받는다. 이를 방지하기 위해선 취약한 버전의 제품 이용자는 BigFileAgent 버전 1.0.1.8 이상으로 설치해야 한다. (https://www.bigfile.co.kr/index.php) 참고.

취약점분석팀은 또 “제보자의 의해 ‘티맥스 ToOffice’ 임의 파일 생성 취약점도 밝혀졌다”고 전했다. 이에 따르면 티맥스소프트社의 ToOffice에서 실행하는 문서 파일에 대한 검증이 미흡하여 임의 파일 생성 취약점이 생긴다. 이는 부적절한 입력 검증으로 임의 파일을 생성함으로써 영향을 준다. 즉 “‘ToOffice’의 ‘ToWord’에서 .docx 파일의 zip을 이용한 압축해제 및 파일생성 과정의 검증 기능 부재로 악성파일을 생성할 수 있다”면서 “공격자는 임의의 공격 파일을 생성 후 평범한 문서파일로 위장해 배포, 이를 열람한 사용자의 시작프로그램 폴더에 악성파일을 생성하고, 재부팅되면 해당 악성파일이 실행되게 한 점이 특징”이라는 설명이다.

이는 ‘ToOffice’ 3.15.5 이전 버전의 윈도우 제품이 영향을 받는다. 그래서 취약한 버전의 제품 이용자는 ‘ToOffice’ 버전 3.15.6 이상으로 설치하는게 안전하다는 당부다.(참고 : https://www.tmax.co.kr/tooffice)

인터넷보호나라는 역시 “제보자에 의해 ‘SecuwaySSL 운영체제’ 명령 실행 취약점이 지난 2월 드러났다”고 전했다. 시큐웨이즈社의 SecuwaySSL(보안 솔루션)에서 runCommand 인자를 이용할 경우 검증을 제대로 수행하지 않아 발생하는 임의 코드 실행 취약점이다. 이는 운영체제 명령 실행에 의한 임의 코드 실행 취약점이 특징이다.

인터넷보호나라는 “시큐위즈의 SecuwaySSL이 제공하는 ModelShell runCommand 인자 사용시 임의 코드를 실행할 수 있다”면서 “공격자는 ModelShell runCommand 인자를 통해 명령어가 실행될 때, 특수문자를 인터젝션(가로챔, Injection)하여 개발자가 의도하지 않은 명령을 실행 할 수 있다”고 주의를 요망했다. ‘시큐웨이SSL U V2.0 맥 OS 가 영향을 받는다. 해결 방안으로 취약한 버전의 제품 이용자는 SecuwaySSL 버전 V2.0.1.1 이상으로 설치할 필요가 있다. (https://www.secuwiz.co.kr/product/secuwaysslu)

‘투비소프트 Nexacro’의 임의 파일 생성 취약점도 제보자에 의해 밝혀졌다. ‘투비소프트社’의 Nexacro(개발 플랫폼)에서 ‘rename method’를 이용할 때 검증을 제대로 수행하지 않아 발생하는 임의 파일 생성 취약점이다. 이는 부적절한 입력 검증으로 임의 파일이 생성되는 취약점이다. ‘투비소프트 Nexacro’ 플랫폼이 제공하는 ‘rename method’를 사용할 경우 임의 파일을 시작프로그램 폴더에 복사할 수 있다. 이때 공격자는 ‘rename method’로 파일을 생성한 후 ‘copy method’를 이용해 임의 명령어를 실행 할 수 있다.

‘Nexacro 17’의 17.1.2.500 및 이전 버전 윈도우가 영향을 받는다. 해결 방안으론 취약한 버전의 제품 이용자는 Nexacro 버전 17.1.3.700 이상으로 설치하는 것이다.( https://www.tobesoft.com/product/Nexacro.do)