MS 파워포인트 프로그램의 보안 취약점을 노린 제로데이(Zero-Day) 악성코드가 지난 2일 북미에서 처음으로 발견돼 주의가 필요하다.
안철수연구소(대표 김홍선 www.ahnlab.com)와 잉카인터넷(대표 주영흠 www.inca.co.kr) 등 국내 백신업체들은 최근 MS 파워포인트 프로그램의 보안 취약점을 노린 제로 데이(Zero-day) 악성코드가 현재 국내에서는 아직 유입되지 않았으나 해외에서 이에 대한 보고가 있어 각별한 주의가 있어야 하겠다고 6일 밝혔다.
4월 2일부터 북미 일부 단체의 구성원에게 MS 파워포인트 파일이 첨부된 이메일이 전송되었는데, 그 중 5개의 파워포인트 파일이 보안 취약점을 갖고 있는 것으로 보고됐다. 이 취약점은 공격자가 임의로 특정 코드를 실행할 수 있는 것으로 이에 대한 MS사의 공식 보안 패치는 발표되지 않은 상태이다.
해당 취약점 파일 등에 의해서 또 다른 악성코드가 사용자 컴퓨터에 몰래 설치되는 과정을 거치게 되는데, 해당 파일이 첨부된 이메일에서 PPT파일을 실행(아웃룩에서는 첨부파일을 더블 클릭하는 절차만 있으면 됨)하면 아무런 경고 메시지도 없이 악성코드가 자신의 컴퓨터에 설치되고 이러한 악성코드들은 사용자의 개인 정보를 훔쳐가는 ‘트로이목마’나 키보드로 입력한 비밀번호, 계좌번호 등을 훔쳐가는 ‘키로거’ 등인 것으로 밝혀졌다.
또한 종전에도 엑셀, 워드, 파워포인트 등에서 VBS;cr;ipt를 악용한 매크로 바이러스는 꾸준하게 등장하고 있었으나, 이러한 파일들은 적어도 사용자가 파일을 열 때 매크로의 실행 여부를 묻는 단계가 포함되어 있었으므로 그 피해가 상대적으로 적었다. 하지만 이번에 발견된 PPT파일은 파워포인트의 제로데이 취약점을 이용한 기법이어서 아무런 경고도 없이 실행돼 그 피해가 더 심각할 것으로 예상된다.
또한 파워포인트 파일을 열어 악성코드가 실행되면 다른 악성코드가 여러 개 생성되는데, 그 중 하나인 앱톰.80966(Win-Trojan/Apptom.80966)은 감염된 컴퓨터의 운영체제 및 하드웨어 정보를 확인하는 한편 개인 정보를 빼낸다. 즉 동작 중인 CPU의 클럭 수, 하드 디스크 전체 용량 및 가용 용량, 네트워크 카드, 사용자 계정을 확인한다.
또한 키보드 입력 값이나 이메일 ID와 암호 등의 개인 정보를 수집해 중국 포털 사이트인 163.com과 126.com이 제공하는 이메일 서비스를 이용해 외부로 유출한다. 감염된 시스템의 보안 프로그램을 강제 종료하기도 한다.
아직 MS에서 이번 취약점에 대한 정식 보안패치를 발표하지 않은 상태이기 때문에 신뢰할 수 없는 파워포인트 파일을 목격했을 경우에는 실행하기 전 각별히 주의해야 한다. 이 악성코드의 피해를 막으려면 인터넷에서 내려받았거나 이메일을 통해 받은 확인되지 않은 파워포인트 파일을 열지 말고 백신으로 먼저 검사를 해야 한다. 또한 MS 정식 보안 패치 발표 후 신속히 업데이트를 설치하는 것 역시 중요하다.
이에 조시행 안철수연구소 시큐리티대응센터(ASEC) 상무는 “최근 운영체제뿐 아니라 응용 소프트웨어의 취약점을 노리는 악성코드가 늘어나는 추세이다. 이메일이나 메신저로 들어오는 첨부 파일을 함부로 열지 말고 보안 프로그램을 항상 최신 버전으로 유지하는 한편 실시간 감시 기능을 사용하는 것이 안전하다”고 강조했다.
또한 김종수 잉카인터넷의 시큐리티대응센터 연구원은 “nProtect Anti-Virus 및 대응력을 갖춘 백신 제품들에서는 이를 진단하고 치료하고 있지만 최신 업데이트를 한 경우에만 치료할 수 있으며, MS의 정식 보안 패치가 발표되기 전에는 변종의 악성코드의 공격도 적지 않을 것으로 예상되는 만큼 출처가 의심스러운 파워포인트 파일은 우선 열지 않는 것이 중요하다”라고 전했다.
안철수연구소(대표 김홍선 www.ahnlab.com)와 잉카인터넷(대표 주영흠 www.inca.co.kr) 등 국내 백신업체들은 최근 MS 파워포인트 프로그램의 보안 취약점을 노린 제로 데이(Zero-day) 악성코드가 현재 국내에서는 아직 유입되지 않았으나 해외에서 이에 대한 보고가 있어 각별한 주의가 있어야 하겠다고 6일 밝혔다.
4월 2일부터 북미 일부 단체의 구성원에게 MS 파워포인트 파일이 첨부된 이메일이 전송되었는데, 그 중 5개의 파워포인트 파일이 보안 취약점을 갖고 있는 것으로 보고됐다. 이 취약점은 공격자가 임의로 특정 코드를 실행할 수 있는 것으로 이에 대한 MS사의 공식 보안 패치는 발표되지 않은 상태이다.
해당 취약점 파일 등에 의해서 또 다른 악성코드가 사용자 컴퓨터에 몰래 설치되는 과정을 거치게 되는데, 해당 파일이 첨부된 이메일에서 PPT파일을 실행(아웃룩에서는 첨부파일을 더블 클릭하는 절차만 있으면 됨)하면 아무런 경고 메시지도 없이 악성코드가 자신의 컴퓨터에 설치되고 이러한 악성코드들은 사용자의 개인 정보를 훔쳐가는 ‘트로이목마’나 키보드로 입력한 비밀번호, 계좌번호 등을 훔쳐가는 ‘키로거’ 등인 것으로 밝혀졌다.
또한 종전에도 엑셀, 워드, 파워포인트 등에서 VBS;cr;ipt를 악용한 매크로 바이러스는 꾸준하게 등장하고 있었으나, 이러한 파일들은 적어도 사용자가 파일을 열 때 매크로의 실행 여부를 묻는 단계가 포함되어 있었으므로 그 피해가 상대적으로 적었다. 하지만 이번에 발견된 PPT파일은 파워포인트의 제로데이 취약점을 이용한 기법이어서 아무런 경고도 없이 실행돼 그 피해가 더 심각할 것으로 예상된다.
또한 파워포인트 파일을 열어 악성코드가 실행되면 다른 악성코드가 여러 개 생성되는데, 그 중 하나인 앱톰.80966(Win-Trojan/Apptom.80966)은 감염된 컴퓨터의 운영체제 및 하드웨어 정보를 확인하는 한편 개인 정보를 빼낸다. 즉 동작 중인 CPU의 클럭 수, 하드 디스크 전체 용량 및 가용 용량, 네트워크 카드, 사용자 계정을 확인한다.
또한 키보드 입력 값이나 이메일 ID와 암호 등의 개인 정보를 수집해 중국 포털 사이트인 163.com과 126.com이 제공하는 이메일 서비스를 이용해 외부로 유출한다. 감염된 시스템의 보안 프로그램을 강제 종료하기도 한다.
아직 MS에서 이번 취약점에 대한 정식 보안패치를 발표하지 않은 상태이기 때문에 신뢰할 수 없는 파워포인트 파일을 목격했을 경우에는 실행하기 전 각별히 주의해야 한다. 이 악성코드의 피해를 막으려면 인터넷에서 내려받았거나 이메일을 통해 받은 확인되지 않은 파워포인트 파일을 열지 말고 백신으로 먼저 검사를 해야 한다. 또한 MS 정식 보안 패치 발표 후 신속히 업데이트를 설치하는 것 역시 중요하다.
이에 조시행 안철수연구소 시큐리티대응센터(ASEC) 상무는 “최근 운영체제뿐 아니라 응용 소프트웨어의 취약점을 노리는 악성코드가 늘어나는 추세이다. 이메일이나 메신저로 들어오는 첨부 파일을 함부로 열지 말고 보안 프로그램을 항상 최신 버전으로 유지하는 한편 실시간 감시 기능을 사용하는 것이 안전하다”고 강조했다.
또한 김종수 잉카인터넷의 시큐리티대응센터 연구원은 “nProtect Anti-Virus 및 대응력을 갖춘 백신 제품들에서는 이를 진단하고 치료하고 있지만 최신 업데이트를 한 경우에만 치료할 수 있으며, MS의 정식 보안 패치가 발표되기 전에는 변종의 악성코드의 공격도 적지 않을 것으로 예상되는 만큼 출처가 의심스러운 파워포인트 파일은 우선 열지 않는 것이 중요하다”라고 전했다.
