“메일 열지 않아도 감염되는 취약점 발견”
상태바
“메일 열지 않아도 감염되는 취약점 발견”
  • 김선애 기자
  • 승인 2023.03.17 15:58
  • 댓글 0
이 기사를 공유합니다

아웃룩 권한상승 취약점 공개…MS 패치 반드시 적용해야
맨디언트 “지난해부터 러시아 배후 공격그룹이 활용한 것으로 분석”

[데이터넷] 마이크로소프트 아웃룩에서 메일을 열지 않아도 감염되는 심각한 취약점이 발견됐다. 마이크로소프트가 최근 패치 완료한 아웃룩 권한상승 취약점(CVE-2023-23397)은 위험도 9.8 수준의 심각한 위협을 갖고 있는데, 사용자가 메일을 열어 링크를 클릭하거나 첨부파일을 실행시키는 등의 행위를 하지 않고 아웃룩 메일함에 도달하는 것 만으로도 트리거링 될 수 있다. 마이크로소프트 자동 업데이트를 실행하면 패치가 완료됐겠지만, 그렇지 않은 경우 반드시 취약점 패치를 해야 한다.

이 취약점은 윈도우 아웃룩에만 영향을 미치며 클라우드 기반 이메일 서비스나 안드로이드·iOS 등 모바일 서비스에는 영향을 주지 않는다.

(출처: NIST)
(출처: NIST)

그러나 쉽게 악용할 수 있기 때문에 많은 공격자들이 이용하고 있을 것으로 예상된다. 실제로 맨디언트는 러시아 GRU와 연계된 사이버 범죄 그룹 APT28을 배후에 둔 UNC4697이 이 취약점을 악용하고 있다고 밝혔다. APT28는 우크라이나 내외에서 정기적으로 사이버 스파이와 정보작전(IO)을 수행하는 그룹으로, 파괴적인 공격을 담당하는 러시아 해킹 그룹 샌드웜(Sandworm)과 협력해 캠페인을 벌인다.

UNC4697는 아웃룩 권한상승 취약점을 지난해 4월부터 폴란드, 우크라이나, 루마니아, 튀르키예에 위치한 정부, 물류, 석유·가스, 방위 및 운송 산업을 타깃으로 사용된 것으로 보인다.

맨디언트는 다른 사이버 스파이 그룹, 국가기반 공격자, 금전 목적의 사이버 범죄 그룹 등이 이 취약점을 광범위하고 신속하게 악용할 것으로 예상했다. 이 취약점을 악용하면 여러 서비스에서 인증과 시스템 침투가 가능하며, 특히 스파이 활동이나 금전 목적의 공격에 이용될 수 있다.

존 헐트퀴스트(John Hultquist) 맨디언트 위협 인텔리전스 분석 총괄은 “이는 공격적이고 파괴적인 사이버 공격 대상이 우크라이나에 국한되지 않는다는 증거이며 보안팀이 모든 것을 탐지할 수는 없다는 사실을 상기시킨다. 공격에 대한 준비를 포착한다고 해서 공격이 임박했다는 것을 암시하지는 않으며 지정학적 상황으로 인해 시간차가 있을 수 있다”고 말했다.


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.