전체메뉴

[애플경제 전윤미 기자] 구글 사이버보안팀이 북한 해커들이 이용한 인터넷 익스플로러 취약점에 대한 제로데이 악용을 발견, 공개했다. 구글 팀은 지난 10월에 이를 발견했고, 사용자들에게 이메일로 전송된 문서에 포함된 악성 프로그램을 발견했다. 제로데이는 운영체제(OS)나 네트워크 장비 등 핵심 시스템의 보안 취약점이 발견된 뒤 이를 막을 수 있는 패치가 발표되기 전에 해당 취약점을 이용한 악성코드나 프로그램을 제작하여 공격하는 수법이다.

이번 구글에 따르면 문서에 있는 숨겨진 악성 프로그램은 ‘CVE-2022-41128’로 추적되는 브라우저의 ‘JScript’ 엔진의 취약성을 이용한 것이다. ‘블룸버그’와 ‘IT프로포탈’ 등의 보도에 따르면 구글은 이번 공격이 북한 정부가 후원하는 해커들 단체나 다름없는 ‘APT37’의 소행이라고 분석했다. ‘APT37’은 과거 인터넷 익스플로러 제로데이를 이용해 이용자를 타깃으로 삼았으며, 언론인, 인권운동가, 탈북자 등을 주요 대상으로 삼는 것으로 알려졌다.

악성코드가 가득한 이 문서의 제목은 ‘221031 서울 용산 이태원 참사 대응 상황(06:00.docx)’이다. 구글은 “지난 10월 한국에서 발생한 할로윈 군중 압사 사고에 대한 대중의 관심을 이용하려 한다”고 밝혔다.

이에 한국 내에선 이같은 마이크로소프트 문서를 구글의 웹 사이트인 ‘VirusTotal’에 업로드하고 있다고 전했다. 이는 의심스러운 파일, 도메인 또는 URL을 분석하는 웹사이트로서, 이에 구글 사이버 보안팀은 악성 프로그램 플래그로 지정했다. 또 이들은 문제의 이 문서가 리치 텍스트 파일(RTF) 원격 템플릿을 다운로드하여 HTML 콘텐츠를 가져오는 것을 발견했다.

사이버 보안팀은 “해당 HTML 콘텐츠를 인터넷 익스플로러(IE)를 이용해 렌더링하기 때문에 2017년(예: CVE-2017-0199)부터 오피스 파일을 통해 IE 익스플로잇을 배포하는 데 널리 사용되고 있다”며 “이 벡터를 통해 IE 익스플로잇을 전달하면 공격 대상이 기본 브라우저로 인터넷 익스플로러를 사용하거나 exp를 체인할 필요가 없게 한다는 것이 장점”이라고 설명했다.

이들은 또 "문제의 취약성은 인터넷 익스플로러의 자바 스크립트 엔진인 ‘jscript9.dll’ 내에 있으며, 공격자가 제어하는 웹 사이트를 렌더링할 때 임의 코드를 실행하기 위해 공격할 수 있다“고 밝혔다. 즉, 버그 자체가 잘못된 JIT 최적화 문제로 인해 생긴 혼란이며, ‘프로젝트 제로’가 파악해 패치했던 CVE-2021-34480과 매우 유사하다. 사이버보안팀은 또 “2022년 10월 31일 마이크로소프트에 이 취약성을 알리고 CVE-2022-41128 추적 코드를 할당받았다.”며 “닷새 후인 11월 8일, 취약점은 패치되었다”고 밝혔다.

앞서 마이크로소프트는 이전에도 북한 해커들에 의해 악용되었던 인터넷 익스플로러 버그를 발견한 바 있다. 2021년 3월에 발견된 이 결함은 해커들이 피해자의 PC에서 악성코드를 실행할 수 있게 하는 메모리 손상 취약성에 의함 것으로, 주로 보안 연구원을 대상으로 사용되었다. 연구원들이 악의적인 웹사이트에 접속하도록 유인한 것이다.

2021년 9월에도 마이크로소프트는 레거시 인터넷 익스플로러에 파워를 공급하는 브라우저에 내장된 ‘제로 데이’ 취약점에 대한 또 다른 수정 사항을 발표해야 했다. 이는 브라우저 엔진에 내장된 원격 코드 실행 결함이었다. 즉, 해커가 엔진을 호스팅하는 마이크로소프트 오피스 문서에서 사용되는 악의적인 ‘ActiveX 컨트롤’을 만들게 한 다음, 피해자들이 문서를 열도록 유도하는 수법이다.