이원영 기자
인터넷 익스플로러(Internet Explorer)는 2022년 지원이 종료됐지만 호환성을 위해 윈도10까지의 OS에 기본 탑재되어 있으며 윈도11에서도 마이크로소프트 엣지(Microsoft Edge) IE 모드로 계속 존재하고 있다. 이런 IE 제로데이 취약점을 이용한 공격을 북한 해커 집단이 수행했다는 사실이 새롭게 확인됐다.
국가사이버안전센터(NCSC)와 국내 보안 기업인 안랩은 10월 16일 IE 제로데이 취약점 CVE-2024-38178에 관한 공동 보고서를 발표한 것.
이 취약점을 악용한 공격을 수행한 건 ScarCruft, RedEyes, TA-RedAnt 같은 이름으로도 알려진 북한 해커 집단 APT37다. 공동 보고서에 따르면 APT37는 지금까지 해킹용 이메일이나 안드로이드 앱용 파일인 APK 파일 취약점 등을 이용해 탈북자나 북한 문제를 호소하는 인권 활동가를 표적으로 한 공격을 수행해 왔다고 한다.
2022년에도 APT37가 IE 취약점 CVE-2022-41128을 악용한 공격을 수행했다는 사실이 구글 위협 분석 그룹(TAG)에 의해 밝혀진 바 있다.
이번 공격에서는 프리웨어와 함께 설치되는 토스트 광고 프로그램을 대상으로 한 멀웨어 RokRAT가 사용됐다. 토스트 광고란 화면 하단이나 우측 하단 등에 표시되는 팝업 형식 광고를 말한다. 클릭하지 않아도 광고가 표시되는 것만으로 멀웨어에 감염될 수 있어 이 공격은 제로 클릭 공격으로 분류된다.
주요 수법은 APT37은 먼저 국내 광고 대행사 서버에 침입해 널리 사용하는 프리웨어 토스트 광고 프로그램을 조작한다.
문제의 광고에는 악의적인 아이프레임 요소가 포함되어 있었고 이게 IE에 의해 렌더링되면 ad_toast라는 자바스크립트 파일이 IE 자바스크립트 엔진인 JScript9.dll 취약점을 통해 원격 코드를 실행한다.
그 후 RokRAT는 감염된 단말기에 있는 .xls나 .doc, .txt 등 20종류 확장자 파일을 얀덱스 클라우드 인스턴스로 유출시키거나 키로깅이나 클립보드 모니터링, 스크린샷 캡처 등을 수행해 데이터를 탈취한다.
NCSC와 안랩의 통보를 받아 마이크로소프트는 지난 8월 업데이트에서 CVE-2024-38178을 수정했다. 하지만 마이크로소프트가 윈도 수정을 했더라도 멀웨어 직접 감염 경로가 된 프리웨어는 아직 수정되지 않았을 가능성이 있다.
보도에선 마이크소프트는 8월 IE 결함을 수정했지만 오래된 IE 컴포넌트를 사용하고 있는 도구에 즉시 적용될 보장은 없다며 따라서 오래된 IE 컴포넌트를 사용하고 있는 프리웨어는 계속해서 사용자를 위험에 노출시킬 수 있다고 지적했다. 관련 내용은 이곳에서 확인할 수 있다.
정용환 기자
이석원 기자
