사이버 공격 방어 기술 기업 파이어아이가 새로운 제로데이 공격 오퍼레이션 스노우맨을 발견했다고 밝혔다.
오퍼레이션 스노우맨은 지난 2월 11일 미국 참전용사 협회의 웹사이트를 타깃으로 했으며, 미 동부 폭설로 마비된 국회의사당과 대통령의 날 연휴를 앞둔 혼란을 틈타 미군의 인사 정보를 목표로 한 전략적인 웹사이트 공격이다.
공격자들은 웹사이트에 침투해 첫 화면의 HTML 코드에 공격용 iframe을 심어놓고, HTML 자바 스크립트페이지로 실행되는 플래시 오브젝트에서 익스플로잇이 침투되도록 했다.
이번 공격은 인터넷 익스플로러 10의 자바스크립트를 이용하는 취약점을 이용한 것이다.
따라서 다른 버전의 인터넷 익스플로러를 사용하거나 마이크로소프트사의 EMET 보안 툴을 설치하면 이 공격을 방지할 수 있다. 또 인터넷 익스플로러 11로 업데이트하면 공격을 예방할 수 있다.
파이어아이는 인프라의 중복 및 공격 방식의 유사성을 분석했을 때 이번 공격의 배후가 제로데이 취약점을 이용한 이전 ‘오퍼레이션 디퓨티도그(Operation DeputyDog)’, ‘오퍼레이션 이페머럴 하이드라(Operation Ephemeral Hydra)’ 공격자와 관련되어 있을 것이라고 밝혔다.
이번 공격과 익스플로러의 취약점 CVE-2013-3163 공격은 둘 다 익스플로잇 실행 과정에서 플래시 파일을 활용하고, 익스플로러의 취약점을 실행하기 위해 다시 자바 스크립트를 실행한다는 점에서 동일하다. 또한 각 공격의 플래시 파일 코드는 매우 유사하다.
최초 오퍼레이션 스노우맨에 의해 유포된 악성코드의 경우 발생 시점에서 한 개의 백신사에서만 탐지되었다. 현재는 대부분의 백신에 의해 탐지되는 상황이다. 그러나 해당 공격에 사용된 플래시 플레이어의 취약점은 대부분의 백신사에서 여전히 탐지되지 않고 있다.
파이어아이 코리아 악성코드 분석가인 박성수 선임은 “제로데이 공격은 정부기관, 방위산업, 법조계, IT회사, NGO 단체 등 다양한 산업군을 타깃으로 하고 있다. 그러나 제로데이 익스플로잇은 제품 공급사에서 패치를 제공 하기 전까지는 탐지 및 차단이 거의 불가능 하며 새로운 제로데이 익스플로잇을 사용하는 유사한 공격이 패치가 제공 되기 전에 국내에도 진행될 가능성이 매우 높다. 따라서 기업들의 각별한 주의가 필요하다.”라고 말했다.