MS 오피스가 새로운 취약점 공격 수단으로 떠올랐다. 그동안 취약점 공격에 주로 어도비 플래시 플레이어가 이용돼 왔지만, 이제는 MS 오피스 익스플로잇이 그 자리를 대신하게 됐다.
카스퍼스키랩의 1분기 보안 분석 보고서에 따르면, 이 기간 동안 MS 오피스 익스플로잇은 1분기에 전년 동기대비 4배 늘었으며, 지난해 전체 MS 오피스 익스플로잇 공격보다 2배 높았다. 지난해부터 올해 1분기까지 발견된 어도비 플래시 취약점은 단 2개였지만, MS 오피스 익스플로잇은 10가지가 넘었다. 1분기 익스플로잇 분포도에서 어도비 플래시 익스플로잇은 3% 미만으로 나타나 비중이 줄어들고 있다.
보고서에서는 “익스플로잇을 활용한 공격은 사용자의 행위가 추가로 필요하지 않고 사용자 모르게 악성 코드를 유포할 수 있기 때문에 위력이 강한 공격에 속한다. 그래서 단순히 돈을 노리는 범죄자는 물론 정교한 형태의 국가 지원 해커들 모두에게 널리 사용되는 수단”이라고 설명했다.
표적공격위해 준비되는 익스플로잇
공격자는 취약점에 대해 알고 나면 익스플로잇을 준비한다. 그런 다음 스피어피싱을 감염 벡터로 사용해 악성 파일이 첨부된 이메일로 사용자와 기업을 감염시킨다. 스피어피싱은 조심스럽게 진행되고, 정교한 표적형 공격에서 많이 사용된다.
예를 들어 2017년 가을 카스퍼스키랩의 지능형 익스플로잇 방지 시스템이 고객의 시스템에서 신종 어도비 플래시 제로데이 익스플로잇을 발견했다. 해당 익스플로잇은 MS 오피스 문서를 통해 전달됐으며 최종 페이로드는 최신 핀스파이(FinSpy) 악성코드였다. 페이로드를 분석한 결과 연구진은 이 공격과 ‘블랙오아시스(BlackOasis)’라는 해커 집단이 연관돼 있을 가능성이 높다는 결론을 내렸다.
같은 달 카스퍼스키랩은 버전에 관계없이 모든 MS 오피스에 표적형 공격을 실행하기 위해 사용되는 치명적인 제로데이 취약점 СVE-2017-11826의 상세 분석 보고서를 발표했다. 이 취약점의 익스플로잇은 DOCX 파일을 포함하는 RTF 문서로, 오피스 오픈 XML 파서에서 СVE-2017-11826을 악용한다. 마지막으로 불과 며칠 전에 인터넷 익스플로러 제로데이 CVE-2018-8174에 대한 정보가 발표됐다. 이 취약점 또한 표적형 공격에 사용되는 것이다.
이창훈 카스퍼스키랩코리아 지사장은 “1분기 위협 양상을 미뤄볼 때 보안 패치 관리에 소홀할 경우 아주 큰 위험을 초래할 수 있다는 사실을 다시 한 번 확인할 수 있었다. 소프트웨어 업체가 취약점 패치를 발표해도 사용자가 제때 업데이트하지 않으면 사이버 범죄 조직이 널리 알려진 취약점을 통해 은밀하게 진행되는 고도의 공격에 당할 수 밖에 없다”고 말했다.
