시큐레터, 어도비 플래시 파일 취약점 분석

보고서 이달 말 무료 배포

시큐레터(대표 임차성)가 최근 사이버 공격의 루트로 사용이 급격히 증가하고 있는 'CVE-2018-4878' 취약점에 대한 분석 보고서를 발간해 이달 말 무료 배포한다고 16일 밝혔다. CVE-2018-4878 취약점은 최근 '헤르메스' 랜섬웨어의 유포 경로로 이용돼 자동으로 파일을 내려받아 실행하게 하는 방식(드라이브 바이 다운로드)를 이용해 빠르게 확산되고 있다. 감염될 경우 암호화된 파일을 설정해 이를 해제하는 대가로 암호코인(암호화폐)를 요구하는 방식이다. CVE-2018-4878 취약점에 의한 악성코드 감염 과정. 시큐레터 제공

시큐레터(대표 임차성)가 최근 사이버 공격의 루트로 사용이 급격히 증가하고 있는 'CVE-2018-4878' 취약점에 대한 분석 보고서를 발간해 이달 말 무료 배포한다고 16일 밝혔다.

CVE-2018-4878 취약점은 어도비 플래시 파일을 이용한 것으로 플래시 파일이 들어있는 워드나 엑셀 문서를 열었을 때 플래시가 로드되는 방식이다. 플래시 프로그램에는 미디어 콘텐츠의 저작권 정보를 처리하는 DRM 기능이 있는데, 이 기능을 수행하기 위해 특정 함수를 호출한다. DRM 정보를 처리하는 과정에서 지정된 변수의 적절성을 검증하지 않고 메모리를 해제해 버그가 발생하고, 공격자는 이를 이용해 원하는 명령을 수행할 수 있다.

이 취약점은 최근 '헤르메스' 랜섬웨어의 유포 경로로 이용돼 자동으로 파일을 내려받아 실행하게 하는 방식(드라이브 바이 다운로드)를 이용해 빠르게 확산되고 있다. 감염될 경우 암호화된 파일을 설정해 이를 해제하는 대가로 암호코인(암호화폐)를 요구하는 방식이다. 또한 사이버 공격 조직 중 최근 활발한 활동을 벌이는, 일명 '레드아이즈' 역시 이 취약점을 이용해 플래시 파일이 들어있는 엑셀 문서를 카카오톡 메신저를 통해 전송하는 방식으로 악성코드 배포를 시도했다.

최근 북한 관련 인사들을 겨냥한 스피어피싱 공격 사례가 있었는데 이때 공격 성공률을 높이기 위해 CVE-2018-4878 취약점을 사용했다. 공격자들은 취약점이 적용된 SWF(어도비 플래시 파일 형식)를 포함한 문서 파일을 메일로 전송해 메일 수신자가 문서 파일을 열어 내용을 확인하게 유도하고 사용자가 문서를 열어보는 순간 악성코드에 감염시킨다.

대부분의 이메일 보안 솔루션이 수행하는 샌드박스 행위기반 진단으로는 샌드박스 우회 기법, 인코딩, 난독화 등 고도화된 공격 기법을 활용하는 새로운 공격 형태를 대응하기에 충분치 않다. 시큐레터의 전문위협대응솔루션이 수행하는 어셈블리 레벨의 진단, 분석 기법은 취약점을 일으키는 데이터를 곧바로 확인하여 악성코드 여부를 판별하기 때문에 알려지지 않은 형태의 공격이 들어와도 원천적인 차단이 가능하다.

시큐레터는 솔루션 공급 뿐 아니라 공격자들이 주로 이용하는 문서의 취약점에 대한 상세한 분석과 공격 형태에 대한 첨예한 분석 내용이 포함된 보고서를 발간해 정기적으로 고객사에 제공하고 있다. 보고서는 고급 전문 분석가들이 수행할 수 있는 높은 수준의 내용으로, 보고서 서비스만 따로 요청하는 고객들도 늘어나고 있는 추세다.

시큐레터는 "갈수록 지능적으로 진화하는 사이버 공격에 대한 경각심을 일깨우고, 철저한 대응의 필요성을 강조하고자 이번 CVE-2018-4878 취약점에 대한 보고서를 무료로 전면 공개할 예정"이라며 "보고서는 이달 말부터 시큐레터 홈페이지를 통해 무료로 내려받을 수 있다"고 밝혔다.

이규화 선임기자 david@dt.co.kr