잉카인터넷이 발견한 제로데이 공격은 아이콘 및 커서 형식 파일 처리 문제로 인한 원격코드 실행 가능 취약점을 이용한 트로이목마로 악의적인 ANI 파일을 취약한 웹 사이트와 이메일 등을 통해 유포돼 인터넷 사용자가 해당 웹 페이지나 사이트 방문 시 코드 내부에 포함하고 있는 URL에 의하여 또 다른 악성코드를 사용자 몰래 설치하게 되는 방식을 이용하게 된다. 잉카인터넷은 “중국 등지에서 발견돼 지금까지 URL 주소만 다른 3개의 샘플을 입수한 상황”이라고 설명했다.
잉카인터넷 시큐리티대응센터 고동훈차장은, “현재 중국 쪽으로부터 발견된 트로이목마 2종은 정상적으로 다운로드 기능이 작동하고 있으며, 코드 구조상 쉽게 변형되어 유포될 가능성이 매우 높은 편”이라고 지적하고 “아직 마이크로소프트사로부터 보안패치가 발표되지 않았기 때문에 다양한 형태의 공격으로 발전될 수 있으므로 기존의 Zero-Day 공격 성향처럼 국내 사이트를 목표로 한 온라인 게임 계정 도용 공격과 결합될 가능성도 충분하다”고 분석했다.
이번 취약점에 영향을 받는 운영체제는 윈도2000 서비스팩4, 윈도XP 서비스팩2, 윈도XP 64비트 에디션 v2003, 윈도XP 프로페셔널 x64에디션, 윈도서버 2003, 윈도서버 2003 아이테니엄기반 시스템, 윈도서버 2003 서비스팩1, 윈도서버 2003 아이테니엄 기반 시스템 서비스팩1, 윈도서버 2003 x64 에디션, 윈도 비스타 등이다.
잉카인터넷 이동혁 부장은 “이 취약점을 악용한 공격자는 또 다른 원격코드(Backdoor) 등을 사용하여 영향을 받는 운영체제에 대하여 완벽한 제어 권한을 획득할 수 있다”면서 “신뢰할 수 없는 웹 사이트나 의심되는 전자우편이 수신될 경우 각별한 주의와 함께 마이크로소프트사의 보안패치가 발표되면 신속하게 설치하는 것이 중요하다”고 당부했다. <오현식 기자>
