2019.04.23

브라우저 보안 강화 '풍선효과'··· 이제 해킹 주 표적은 'MS 오피스'

Andrada Fiscutean | CSO
사이버 범죄자의 해킹 표적 플랫폼이 마이크로소프트 오피스로 바뀌고 있는 것으로 나타났다. 실제 오피스에 대한 해킹 사고 건수가 계속 증가하고 있다.

최근 싱가포르에서 열린 카스퍼스키 랩의 연례 컨퍼런스 '시큐리티 애널리스트 서밋(Security Analyst Summit)'에서 이 업체의 연구자 보리스 라린과 블라드 스토야브로, 알렉산더 리스킨 등은 이런 주제로 발표했다. 이들은 지난 2년간 보안 위협의 범주가 바뀌고 있다며, 소프트웨어를 항상 최신 버전으로 유지하고 신뢰할 수 없는 곳에서 보내 온 파일을 열지 않아야 보안 사고의 위험을 줄일 수 있다고 조언했다.

연구자들에 따르면, 오늘날 카스퍼스키 랩이 감지한 모든 사이버 공격의 70% 이상이 마이크로소프트 오피스를 노리고 있다. 반면 브라우저 보안 취약점을 악용한 공격은 14%에 불과했다. 2년전에는 상황이 완전히 달랐다. 웹 기반 보안 취약점이 45%, 마이크로소프트 오피스가 16%였다.
 
카스퍼스키 연구자들이 2016년 이후 마이크로소프트 오피스에 대한 공격이 계속 늘어나고 있는 자료를 발표하고 있다.

이러한 변화는 브라우저 보안이 전반적으로 개선되면서 결과적으로 이를 해킹하기 위해 필요한 리소스가 점점 더 늘어났기 때문이다. 리스킨은 "브라우저 개발업체가 새로운 보안 보호 방법을 적용하고 피해를 줄이기 위해 큰 노력을 기울이고 있다. 이에 따라 해커들은 새로운 목표를 찾아 나섰고 마이크로소프트 오피스로 눈을 돌리고 있다"라고 말했다.

사이버 범죄자가 마이크로소프트 오피스를 공격 목표로 삼은 이유는 이뿐만이 아니다. 리스킨은 "마이크로소프트 오피스는 매우 다양한 파일 형식을 지원하고 윈도우 운영체제와 긴밀하게 통합돼 있다. 더구나 마이크로소프트가 오피스를 개발할 때 채택한 여러 방식은 보안 측면에서 좋지 않다는 사실이 뒤늦게 밝혀졌다. 그러나 현재 이를 바꾸기도 쉽지 않은 상황이다. 자칫 하나를 수정하면 오피스의 모든 버전에 큰 영향을 줄 있기 때문이다"라고 말했다.

연구자들에 따르면, 지난 2년간 악용된 보안 취약점 대부분은 마이크로소프트 오피스 자체의 문제가 아니라 관련 컴포넌트의 문제였다. 대표적인 것이 CVE-2017-11882CVE-2018-0802로, 모두 수식 편집기(Equation Editor)에서 발견됐다. 이 편집기는 지난 17년간 나온 마이크로소프트 워드의 모든 버전에서 사용하므로, 사이버 범죄자가 눈독을 들이고 있다. 특히 이들 보안 취약점을 악용하는 데는 고급 기술이 필요하지 않다. 수식 편집기 바이너리에는 최신 보안 기술이나 피해를 줄이는 수단이 부족하기 때문이다. 결국 사이버 범죄자가 마이크로소프트 오피스를 노리는 것이 어쩌면 당연한 것이다.

오피스 해킹을 위해 인터넷 익스플로러 악용
또다른 흥미로운 보안 취약점은 CVE-2018-8174다. 이 특이한 취약점은 실제로 인터넷 익스플로러의 것이다. 그러나 실제 악용되는 방식은 오피스 파일을 이용한다. 라린은 "이 취약점을 악용하는 것은 사용자를 혼란스럽게 하는 RTF 문서 형태다. 이는 마이크로소프트 오피스를 해킹하기 위해 인터넷 익스플로러의 취약점을 악용한 첫 사례다"라고 말했다.

실제 해킹이 실행되는 것은 3단계를 거친다. 먼저 사용자가 악의적인 문서를 연다. 그러면 2단계로 보안 취약점을 악용한 HTML 페이지가 다운로드된다. 이 페이지 내에 VB스크립트 코드가 포함돼 있다. 이 코드는 3단계의 방아쇠 역할을 한다. UAF(use after free) 보안 취약점을 이용해 셸코드를 실행하는 것이다. UAF 버그는 메모리 개조 보안 취약점의 일종이다. 과거 브라우저 해킹에 널리 사용됐었다. 이 기술은 메모리를 참조하는 방식으로 작동한다. 결과적으로 소프트웨어 충돌을 유발하거나 해커가 코드를 실행할 수 있도록 한다.
 
MS 오피스로 빠르게 악용하는 사이버 범죄자들
이 사례에서 연구자들이 가장 흥미롭게 본 것은, 사이버 범죄자가 얼마나 빨리 작업하는지 였다. 보안 사고 대부분이 마이크로소프트 오피스 제로 데이에서 시작됐는데, 일단 제로 데이 보안 취약점이 공개되면 며칠만에 다크 웹에 악용 방법이 올라왔다. 때로는 더 빠른 경우도 있었다. 카스퍼스키 랩 연구자가 발견한 오피스 수식 편집기 보안 취약점 CVE-2017-11882는 공개와 동시에 이 취약점의 PoC가 대규모 스팸과 함께 나타났다.

해커가 계속해서 마이크로소프트 오피스를 노림에 따라, 이와 관련된 보안 취약점은 머지 않아 더 대중화될 가능성이 있다. 이에 따라 라린은 사용자가 소프트웨어를 업데이트하고 확실치 않은 이메일 주소에서 받은 파일에 주의를 기울여야 한다고 조언했다. 그는 "가장 좋은 것은 신뢰할 수 없는 곳에서 받은 링크나 파일을 열지 않는 것이다. 그리고 취약점 악용을 감지하는 보안 솔루션을 설치하는 것이다"라고 말했다. ciokr@idg.co.kr



2019.04.23

브라우저 보안 강화 '풍선효과'··· 이제 해킹 주 표적은 'MS 오피스'

Andrada Fiscutean | CSO
사이버 범죄자의 해킹 표적 플랫폼이 마이크로소프트 오피스로 바뀌고 있는 것으로 나타났다. 실제 오피스에 대한 해킹 사고 건수가 계속 증가하고 있다.

최근 싱가포르에서 열린 카스퍼스키 랩의 연례 컨퍼런스 '시큐리티 애널리스트 서밋(Security Analyst Summit)'에서 이 업체의 연구자 보리스 라린과 블라드 스토야브로, 알렉산더 리스킨 등은 이런 주제로 발표했다. 이들은 지난 2년간 보안 위협의 범주가 바뀌고 있다며, 소프트웨어를 항상 최신 버전으로 유지하고 신뢰할 수 없는 곳에서 보내 온 파일을 열지 않아야 보안 사고의 위험을 줄일 수 있다고 조언했다.

연구자들에 따르면, 오늘날 카스퍼스키 랩이 감지한 모든 사이버 공격의 70% 이상이 마이크로소프트 오피스를 노리고 있다. 반면 브라우저 보안 취약점을 악용한 공격은 14%에 불과했다. 2년전에는 상황이 완전히 달랐다. 웹 기반 보안 취약점이 45%, 마이크로소프트 오피스가 16%였다.
 
카스퍼스키 연구자들이 2016년 이후 마이크로소프트 오피스에 대한 공격이 계속 늘어나고 있는 자료를 발표하고 있다.

이러한 변화는 브라우저 보안이 전반적으로 개선되면서 결과적으로 이를 해킹하기 위해 필요한 리소스가 점점 더 늘어났기 때문이다. 리스킨은 "브라우저 개발업체가 새로운 보안 보호 방법을 적용하고 피해를 줄이기 위해 큰 노력을 기울이고 있다. 이에 따라 해커들은 새로운 목표를 찾아 나섰고 마이크로소프트 오피스로 눈을 돌리고 있다"라고 말했다.

사이버 범죄자가 마이크로소프트 오피스를 공격 목표로 삼은 이유는 이뿐만이 아니다. 리스킨은 "마이크로소프트 오피스는 매우 다양한 파일 형식을 지원하고 윈도우 운영체제와 긴밀하게 통합돼 있다. 더구나 마이크로소프트가 오피스를 개발할 때 채택한 여러 방식은 보안 측면에서 좋지 않다는 사실이 뒤늦게 밝혀졌다. 그러나 현재 이를 바꾸기도 쉽지 않은 상황이다. 자칫 하나를 수정하면 오피스의 모든 버전에 큰 영향을 줄 있기 때문이다"라고 말했다.

연구자들에 따르면, 지난 2년간 악용된 보안 취약점 대부분은 마이크로소프트 오피스 자체의 문제가 아니라 관련 컴포넌트의 문제였다. 대표적인 것이 CVE-2017-11882CVE-2018-0802로, 모두 수식 편집기(Equation Editor)에서 발견됐다. 이 편집기는 지난 17년간 나온 마이크로소프트 워드의 모든 버전에서 사용하므로, 사이버 범죄자가 눈독을 들이고 있다. 특히 이들 보안 취약점을 악용하는 데는 고급 기술이 필요하지 않다. 수식 편집기 바이너리에는 최신 보안 기술이나 피해를 줄이는 수단이 부족하기 때문이다. 결국 사이버 범죄자가 마이크로소프트 오피스를 노리는 것이 어쩌면 당연한 것이다.

오피스 해킹을 위해 인터넷 익스플로러 악용
또다른 흥미로운 보안 취약점은 CVE-2018-8174다. 이 특이한 취약점은 실제로 인터넷 익스플로러의 것이다. 그러나 실제 악용되는 방식은 오피스 파일을 이용한다. 라린은 "이 취약점을 악용하는 것은 사용자를 혼란스럽게 하는 RTF 문서 형태다. 이는 마이크로소프트 오피스를 해킹하기 위해 인터넷 익스플로러의 취약점을 악용한 첫 사례다"라고 말했다.

실제 해킹이 실행되는 것은 3단계를 거친다. 먼저 사용자가 악의적인 문서를 연다. 그러면 2단계로 보안 취약점을 악용한 HTML 페이지가 다운로드된다. 이 페이지 내에 VB스크립트 코드가 포함돼 있다. 이 코드는 3단계의 방아쇠 역할을 한다. UAF(use after free) 보안 취약점을 이용해 셸코드를 실행하는 것이다. UAF 버그는 메모리 개조 보안 취약점의 일종이다. 과거 브라우저 해킹에 널리 사용됐었다. 이 기술은 메모리를 참조하는 방식으로 작동한다. 결과적으로 소프트웨어 충돌을 유발하거나 해커가 코드를 실행할 수 있도록 한다.
 
MS 오피스로 빠르게 악용하는 사이버 범죄자들
이 사례에서 연구자들이 가장 흥미롭게 본 것은, 사이버 범죄자가 얼마나 빨리 작업하는지 였다. 보안 사고 대부분이 마이크로소프트 오피스 제로 데이에서 시작됐는데, 일단 제로 데이 보안 취약점이 공개되면 며칠만에 다크 웹에 악용 방법이 올라왔다. 때로는 더 빠른 경우도 있었다. 카스퍼스키 랩 연구자가 발견한 오피스 수식 편집기 보안 취약점 CVE-2017-11882는 공개와 동시에 이 취약점의 PoC가 대규모 스팸과 함께 나타났다.

해커가 계속해서 마이크로소프트 오피스를 노림에 따라, 이와 관련된 보안 취약점은 머지 않아 더 대중화될 가능성이 있다. 이에 따라 라린은 사용자가 소프트웨어를 업데이트하고 확실치 않은 이메일 주소에서 받은 파일에 주의를 기울여야 한다고 조언했다. 그는 "가장 좋은 것은 신뢰할 수 없는 곳에서 받은 링크나 파일을 열지 않는 것이다. 그리고 취약점 악용을 감지하는 보안 솔루션을 설치하는 것이다"라고 말했다. ciokr@idg.co.kr

X