MS, 러시아 해커그룹에 악용된 윈도 취약점 패치

컴퓨팅입력 :2016/11/09 10:23

마이크로소프트(MS)가 러시아 해커그룹이 스피어피싱 공격에 악용된 윈도 운영체제(OS)의 보안취약점 문제를 해결했다. 지난주 구글이 이를 공개한 직후 밝힌대로 1주일만에 패치를 내놓은 것이다.

미국 지디넷은 8일(현지시각) MS가 월간 보안 패치 배포 일환으로 해커들에게 활발히 이용됐던 보안 결함을 수정했다고 보도했다. 해당 결함은 지난달말 구글 위협분석그룹(TAG)이 발견해 소개했다. 직후 MS는 8일에 패치가 나온다고 지난 1일 예고했다.

[☞참조링크: Microsoft fixes Windows security flaw under attack by hackers]

[☞관련기사: MS "구글이 지적한 윈도 취약점, 다음주 해결"]

MS는 지난주 패치를 예고할 당시 윈도 취약점을 악용한 악성코드 공격 배후로 러시아 해커그룹 '스트론튬(Strontium)'을 지목했다. 스트론튬이 정부의 공공, 외교, 군사 부문 조직과 국방조달업체 및 공공정책 연구소같은 민간 조직을 주로 공격 목표로 삼아 왔다고 설명했다.

스트론튬은 지난 6월 미국의 민주당 전국위원회(DNC) 전산망에 침투해 대선 관련 문건을 유출시키고, 세계반도핑기구(WADA) 시스템을 해킹해 리우데자네이루 올림픽 참가 선수의 의료기록 일부를 공개한 장본인으로 추정되고 있다.

[☞관련기사: 러 해커, 美 민주당 트럼프 내부 보고서 빼돌려]

[☞관련기사: 러시아 해커, 세계반도핑기구(WADA) 해킹]

MS는 스트론튬이 악성코드를 메일에 첨부하든지 하는 방식으로 한 번이라도 침입에 성공하면, 이후 목표 조직의 네트워크를 통해 지속적으로 내부 인프라에 접근할 수 있도록 깊이 숨어들면서 민감한 정보를 탈취하는 활동을 수행했다고 설명했다.

[사진=Pixabay]

MS가 소개한 스트론튬의 일반적인 공격 수법은 이렇게 요약된다. 목표 조직내 이메일 계정이 동원된다. 한 사람의 메일 계정을 사용해 악성코드를 심은 이메일을 보내고 이를 다른 사람이 열어보도록 꾸준히 유도한다. 내부 사용자의 컴퓨터에 침입하는 과정이다.

전달된 악성코드는 다음 3단계 동작을 수행한다. 첫째, 어도비 플래시의 취약점을 통해 브라우저 프로세스 제어 권한을 빼앗는다. 둘째, 브라우저가 윈도의 샌드박스 환경에서 빠져나오도록 동작 권한을 승격한다. 셋째, 승격된 권한을 통해 해당 컴퓨터에 백도어를 설치한다.

즉 패치되기 이전까지 어도비 플래시와 MS 윈도 커널의 보안취약점이 순차적으로 스트론튬의 백도어 설치 과정으로 가는 길을 열어 준 셈이었다. 다만 어도비는 앞서 구글이 문제의 취약점 정보를 공개하기 전에 플래시의 해당 보안 헛점(CVE-2016-7855)을 메웠다.

MS도 이어 보안 업데이트 배포를 통해 커널 취약점을 해결했다. 그러나 MS는 자신들이 이번 윈도 커널 취약점 패치를 배포하기 전에 구글이 관련 내용을 공개한 사실에 대해 불쾌감을 드러내기도 했다.

테리 마이어슨 MS 윈도 및 디바이스 그룹 총괄부사장(EVP)은 이달초 패치를 예고하면서 "구글이 섣부른 (보안취약점 정보) 공개를 한 결과로 윈도 사용자들을 '잠재적인 위험'에 빠뜨린 것"이라고 비판했다.

관련기사

MS 보안 공지에 따르면, 패치는 윈도 비스타, 윈도7, 윈도8.1, 윈도10, 윈도서버2008, 윈도서버2012 및 R2, 윈도서버2016 환경에 적용된다. 최신 윈도10 1주년 업데이트 환경에선 이미 해결된 문제기 때문에, 이를 구동하는 PC 및 태블릿 사용자들은 적용하지 않아도 된다.

[☞참조링크: Microsoft 보안 공지 MS16-135 - 중요]