팝업광고에 PC 먹통…인터넷 익스플로러 취약점 노린 北 공격

안랩·국정원 합동 분석보고서…TA-RedAnt 조직 지목
MS 지원 끝난 광고실행 모듈…취약점 막으려면 업데이트 필수

(안랩 제공)

(서울=뉴스1) 윤주영 기자 = PC 화면 하단 등에서 '팝업'되는 광고(토스트 광고)를 악용해 북한 해킹 조직이 사이버 공격을 가하는 것으로 드러났다. 악성코드를 광고 콘텐츠로 위장 후 사용자가 내려받도록 유도하는 것이다.

안랩(053800) ASEC 분석팀과 국가정보원 산하 국가사이버안보센터(NCSC) 합동분석협의체는 이런 내용을 담은 합동 분석 보고서를 16일 발표했다.

보고서에 따르면 '레드아이즈' 등 별칭으로 알려진 북한 해킹조직 'TA-RedAnt'는 인터넷 익스플로러의 제로데이 취약점을 파고들어 이같은 공격을 할 수 있었다. 제로데이 취약점은 아직 보안패치가 발표되지 않은 취약점이다.

사용자의 PC가 광고 콘텐츠를 내려받은 후 이를 표출하려면 동작을 수행할 '모듈'이 필요하다. 보고서에 따르면 특정 광고 프로그램은 마이크로소프트(MS)가 이미 업데이트 등 지원을 종료한 탓에 보안이 취약한 인터넷 익스플로러(IE) 모듈을 활용하고 있었다.

공격자는 광고 프로그램이 콘텐츠를 내려받는 특정 국내 광고 대행사의 서버를 공격해 권한을 획득했다. 이후 해당 서버의 광고 콘텐츠 스크립트에 취약점 코드를 삽입했다. 이후 콘텐츠가 팝업 등으로 표출(렌더링)되면 악성코드 등이 실행될 수 있다.

PC가 감염된 후에는 공격자는 원격 명령 등 다양한 악성 행위를 수행할 수 있다.

양 기관은 해당 취약점을 즉시 MS에 신고했다. MS는 8월 13일 정기 패치에서 공식 CVE 코드를 발급하고 보안 패치도 완료했다.

MS는 2022년 6월 IE 지원을 종료했으나 여전히 IE 모듈을 사용하는 일부 윈도 애플리케이션(앱)이 있다. 이를 파고든 공격이 지속될 수 있어 각별한 주의 및 보안 업데이트가 필요하다. 소프트웨어 제조사는 제품 개발 시 보안에 취약한 개발 라이브러리나 모듈을 쓰지 말아야 한다.

안랩은 현재 V3, MDS, EDR 등 다양한 엔드포인트(단말) 제품군에서 수집한 탐지 로그에 기반해 의심 공격을 선제적으로 파악 후 차단하고 있다.

송태현 안랩 ASEC 분석팀 선임연구원은 "최근 다양한 취약점을 악용한 공격이 증가하는 추세로, 피해 예방을 위해 사용자들은 운영체제 및 소프트웨어의 보안 업데이트를 정기적으로 진행해야 한다"고 말했다.

합동 보고서 전문은 ASEC의 위협 인텔리전스 분석 정보 채널 'ASEC블로그'와 국가사이버안보센터 홈페이지에서 확인할 수 있다.

legomaster@news1.kr