Case
러시아의 Fancy Bear는 Microsoft Office의 취약점을 타고
2017 11 15
  • Facebook
  • Twitter
  • Copy URL

대부분의 보안 연구가는 자신이 찾은 취약점을 소프트웨어 제조사에게 알리거나 제 3자를 통해 보고한다.[1] 그리고 보안 연구가는 자신이 찾은 취약점에 대해 해당 기기에 보안 패치가 이루어지기 전까지 보통은 숨긴다. 이는 기업 입장을 고려하여 보안 패치할 시간을 벌어주는 것도 있지만, 발견된 취약점이 패치 되기 전에 실제로 악용될 가능성을 우려해서 그런 것도 있다.[2] 하지만 막상 취약점을 제조사에게 알린다는 것은 그다지 유쾌한 일이 아니다. 제조사에게 취약점을 알려주었다 하더라도 별다른 조치가 없거나 너무 늦장 대응을 하여 부득이하게 공개 여부를 심각하게 고민하게 되는 일도 있다.[3] 이 같은 경우에는 제작사 입장에서 보안에 큰 신경을 쓰는 않는 기업도 있지만, 발견된 취약점이 크게 위협적으로 느껴지지 않아 넘어 같은 경우도 허다하다. 하지만 위협이 없는 취약점은 드물다. 그런 의미로 며칠 전, Fancy Bear라고 불리는 해커 그룹이 Microsoft에 보고되었다가 보안 문제로 간주되지 않아 무시당했던 취약점을 악용하여 컴퓨터를 감염시키는 사건이 발생했다.[4]

이미지를 불러오는데 실패했습니다.

 

Fancy Bear, APT28 라고도 불리는 이 해커 그룹은 러시아의 해킹 단체로 주로 국가의 정당들을 공격한다. 정당뿐만 아니라 세계반도핑기구(WADA)를 해킹한 전적도 있고, 각종 보안 업체와 기업을 해킹한 적도 있다.[5] 아마도 가장 유명한 사건은 지난해 미국 대통령 선거를 앞두고 민주당 전국위원회 네트워크에 침범하여 민주당의 힐러리 클린턴의 이메일을 유출하며 트럼프가 당선되는 것에 일조했다고 얘기가 나오는 사건이지 않을까 한다.[6][7] 이 밖에 프랑스 대선도 러시아 정부의 지원을 받는 Fancy Bear의 영향이 없지 않아 있을 것으로 보고 있으며[8] 최근 앞서 얘기한 Microsoft Office의 취약점을 악용하여 뉴욕에서 있었던 테러 공격의 희생자를 대상으로 컴퓨터를 감염시키기도 했다.[9]

이를 발견하여 발표한 McAfee의 위협 연구 분석가는 Fancy Bear 그룹에 대한 활동을 모니터링하며 이전에 Advanced Threat Research에 보고된 Microsoft Office Dynamic Data Exchange (DDE) 기능을 활용하는 것으로 보이는 악성 Word 문서를 확인했다고 한다.[10] 이 얘기는 Fancy Bear를 통해 DDE 기술의 취약점을 악용하여 사용될 가능성을 충분히 보여주었다. DDE 취약점은 PowerShell과 함께 사용되었고, 공격자는 사용자가 매크로를 사용할 수 있는지와 상관없이 대상 시스템에서 임의 코드를 실행할 수 있었다. 그들은 미국에서 발생한 뉴스 사건에 대한 이슈거리라며 사람들을 꾀어냈고, 이를 이용한 악성파일을 메일에 첨부하여 지난 10월부터 사용자에게 배포하였다. 더욱이 이 공격은 Microsoft Office 기능의 기본 제공 기능인 DDE 기능을 활용하여 앞서 얘기한 것처럼 매크로를 활성화하지 않아도 공격할 수 있으며, 메모리를 손상하지 않고 대상 장치에서 코드 실행을 할 수 있다.[11] 이 말인즉슨, 백신 프로그램에서도 DDE를 통한 침입을 감지할 수 없다는 말과 같다.

그렇다면 DDE는 뭐지. DDE는 Microsoft가 두 개의 실행 중인 응용 프로그램이 같은 데이터를 공유할 수 있도록 하는 몇 가지 방법의 하나의 프로토콜이다.[12] 이 기능은 MS Excel, MS Word, Quattro Pro, Visual Basic 등 수천 개의 응용 프로그램에서 한 번만 데이터를 전송하고 업데이트를 서로 주고받으며 지속해서 데이터를 교환하는데 사용된다.[13] 즉, DDE는 데이터를 공유하는 응용 프로그램 간에 메시지를 보내는 방법을 제공하는 이전 프로토콜이다. 보통 일회성 데이터 전송 및 새로운 데이터를 사용할 수 있게 되면 앱이 서로에게 업데이트를 보내는 지속적인 교환을 위해 애플리케이션에서 사용된다.[14] 예를 들어, DDE 기능은 외부 소스의 새 데이터로 자동 업데이트될 수 있는 재무 데이터가 포함된 문서 또는 스프레드시트를 생성하는 데 사용할 수 있다.[15] Fancy Bear는 DDE의 기능을 악용하여 여러 기관을 대상으로 다양한 공격을 펼쳤다.[16] 더욱이, DDE 기능은 Microsoft의 구형 프로그램과의 호환성을 유지하기 위해 이 기능을 계속 지원했다.[17]

사건의 흐름은 이렇다.[18] 사용자는 자신의 이메일에서 ‘SabreGuard2017.docx’ 또는 ‘IsisAttackInNewYork.docx’ 와 같은 이름의 파일이 첨부된 메일을 받는다.[19][20] 사용자가 이 파일을 다운받아 클릭하여 실행하는 순간 컴퓨터는 백신, 시스템의 제약 없이 악성코드에 감염된다. 일단 문서가 사용자에 의해 실행되면, 악성코드는 명령 및 제어서버(C&C)에 접속하여 PowerShell 명령을 사용하여 사용자의 컴퓨터에 Seduploader를 설치한다. 이때, 파일은 사용자에게 ‘보안’경고를 표시하기는커녕 명령에 지정된 응용 프로그램을 실행할지 묻는 것을 제외하면 아무런 경고창도 뜨지 않으며 이 팝업 경고도 공격자의 ‘구문 수정’으로 제거할 수도 있다.[21] 아무튼, 그런 다음 컴퓨터에 설치된 Seduploader는 감염된 시스템의 사용자에 대한 기본 정보를 공격자에게 보낸다. 만약 공격자가 감염된 시스템에 흥미를 느낀다면 공격자는 더 많은 기능을 갖춘 스파이웨어 X-Agent 및 Sedreco를 설치하여 사용자의 시스템을 은밀하게 관찰하고 도청한다.[22]

사실, 앞서 얘기한 것처럼 이 기술을 이용한 악용 사례에 대해서는 처음 언급된 것이 아니다. 지난달 보안 업체인 Sensepost의 연구원은 매크로를 사용하여 악성코드를 설치하는 대체 방법으로 이 기술에 주목했다.[23][24] Sensepost는 이 문제를 Microsoft에 보고했지만, 이 기능을 보안에 위협이 되지 않는 기능으로 간주하여 10월 업데이트에서 패치를 제공하지 않았다.[25][26] 이후, Necurs 봇넷 뒤에 있는 실제 사이버 공격자가 DDE로 조작된 악의적인 Word 문서 파일을 사용하여 Locky ransomware를 설치하기 시작했다.[27] 그리고 이 사건이 지나고 얼마 안 있어 10월 27일 때쯤에 Fancy Bear가 DDE를 사용한 악의적인 파일은 작성하였고, 10월 25일에 등록된 제어 서버 도메인과 통신했다는 흔적이 발견되었다.[28] 이에 대해 경고한 사람은 Sensepost뿐만이 아니다. Cisco Systems의 Talos 부서의 연구원은 DDE를 악용한 공격 방법이 공개되고 10월 11일 때쯤에 DNS를 통해 공격자와 양방향 통신 채널을 형성하는 은밀한 악성 프로그램인 DNSMessenger를 컴퓨터에 감염시키는 데 사용되고 있다고 얘기하기도 했다.[29]

지난 몇 년 동안 Microsoft Office 문서를 이용한 악의적인 사건은 일반적으로 Office 프로그램에서 작업을 자동화하는 스크립트인 매크로에 악의적인 코드를 추가하여 사용하여 방법이 대다수였다. 이에 따라 Microsoft는 악의적인 매크로의 실행을 어렵게 하려고 자신의 소프트웨어에 보안 기능을 추가했다. 하지만 보안 기능이 무색하도록 10월 초에 SensePost의 보안 연구원으로부터 DDE 기능을 통해 매크로가 아닌 Office 기능을 활용하여 새로운 악의적인 코드를 추가시키는 방법을 공개했다. 이는 외부 파일의 정보로 문서를 업데이트할 수 있는 메커니즘이었다. 더욱이 Microsoft는 이 기능이 문제가 될지 상상도 못했을 것이다. 반면, 여러 연구자는 매크로 없이 Office 문서를 통해 악성코드를 확산시키는 DDE 기능 공격의 가능성에 주목했다. 매크로만 차단하였던 상황에서 DDE에 대한 인식이 높아짐에 따라 DDE를 이용한 공격은 앞으로 더 효과적일 수 있다. 하지만 현재로서 DDE를 이용한 공격은 사용자가 두 경고 모두 ‘예’를 클릭 한 후에만 실행된다. 즉, 사용자의 상호 작용이 필요하다는 것이다. 그렇다 해도 안심해서는 안 된다. 분명히 바이러스가 진화한 것처럼, 기술이 진화한 것처럼 DDE를 이용한 공격도 더 많아질 것이고, 앞으로 사용자의 상호작용이 필요 없는 공격이 이루어질 수도 있다. 결국, 사람들은 DDE 공격에 대해 인식하면서 새로운 공격 메커니즘을 인정하고 보안에 더 주의를 해야 하지 않을까 한다. 그리고 Microsoft도 이 공격에 관해 이른 시일 내로 패치 하지 않을까.

유성경 yuopboy@grayhash.com