얼마 전 발견된 윈라 유틸리티의 제로데이 취약점을 빠르게 패치해야 하는 상황이 됐다. 러시아와 중국의 APT 단체들이 이 취약점을 적극 활용하기 시작한 것이다. 당하고 싶지 않으면 패치로 간단히 소원을 이룰 수 있다.
[보안뉴스 문정후 기자] 러시아와 중국의 정부 지원 해킹 조직들이 얼마 전 윈라(WinRAR)라는 파일 압축 유틸리티에서 발견된 취약점을 계속해서 익스플로잇 하는 중이라는 경고가 나왔다. 그러므로 윈라를 사용하려면 최신 패치를 사용하는 것이 안전하다고 한다.
![[보안뉴스 / 10.20.] 패치가 필요해, APT 공격자들보다 빠른 패치가 필요해](http://www.boannews.com/media/upFiles2/2023/10/241972935_9252.jpg)
[이미지 = gettyimagesbank]
문제의 취약점은 CVE-2023-38831로, 현재 구글의 위협분석그룹(Threat Analysis Group, TAG)이 이와 관련된 익스플로잇 행위들을 추적하고 있다. 그 결과 우크라이나와 파푸아뉴기니의 조직들을 겨냥하여 멀웨어를 유포하는 악성 행위가 진행되고 있음을 발견할 수 있었다고 한다. “그런 공격을 하고 있는 건 주로 정부 지원 해커들로 보이는 집단이었습니다.” TAG의 케이트 모건(Kate Morgan)이 자사 블로그에 쓴 내용이다.
그 중에서도 러시아가 지원하는 APT 그룹들이 가장 활발하게 윈라를 익스플로잇 한다고 모건은 설명한다. “9월 6일 러시아의 샌드웜(Sandworm)이 우크라이나 드론 군사 학교를 사칭한 채 이메일 캠페인을 벌였는데, 이 때 이미 윈라의 취약점이 익스플로잇 되고 있었습니다. 팬시베어(Fancy Bear)의 경우도 우크라이나의 조직들을 겨냥해 멀웨어를 유포하기 위해 이 취약점을 악용하고 있습니다.”
중국의 APT 단체들도 가만히 있지 않았다. 아일랜드드림즈(IslandDreams)라는 조직은 파푸아뉴기니의 여러 조직들에 정보 탈취용 멀웨어를 심기 위해 윈라 취약점을 익스플로잇 했다. 피해 규모는 아직 정확히 파악되지 않고 있다.
윈라의 개발사인 라랩(RarLab)이 베타 패치를 발표한 건 7월 20일의 일이다. 윈라가 6.23 버전으로 공식 업데이트 된 건 8월 2일이었다. 패치를 하기에 충분한 시간이 흘렀다고도 볼 수 있는데, “현실은, 아직 패치하지 않은 채 사용하는 사람들이 너무나 많은 상태”라고 모건은 설명한다. “패치가 나오든 나오지 않든 공격자들은 개의치 않고 공격을 이어갑니다. 패치 적용에 시간이 걸린다는 걸 알고 있으니까요.”
윈라 취약점 익스플로잇 하기
CVE-2023-38831을 제일 먼저 발견한 건 그룹IB(Group-IB)라는 보안 업체다. 7월의 일이었다. 하지만 그룹IB보다도 해킹 그룹들이 먼저 이 취약점을 발견해 이미 익스플로잇 하고 있었다. 즉 제로데이 취약점이었던 것인데, APT 단체들이 이를 알고 악용한 건 최소 4월부터인 것으로 분석되고 있다. 구글의 TAG는 현재 이 취약점 익스플로잇에 연루된 APT들을 추적하고 있는 것으로 최초 발견이나 제보와는 관련이 없다.
“이 취약점 덕분에 공격자는 결국 피해자의 시스템 내에서 임의의 코드를 실행할 수 있게 됩니다. 피해자 입장에서는 압축된 아카이브 내에 있는 파일 하나를 열람하려 했을 뿐인데 감염이 되는 겁니다.” 모건의 설명이다.
게다가 이 취약점의 개념증명용 익스플로잇까지 그룹IB의 발견 직후 나와버렸다. 개념증명용 익스플로잇 코드는 그 자체로 해킹 도구가 되지는 않는다. 하지만 해킹 도구를 만드는 데 있어 중대한 힌트가 된다. 이 때문에 개념증명용 익스플로잇 코드도 취약점 패치 개발 이후에, 그것도 패치 적용이 보편적으로 될 정도로 충분한 시간 뒤에 공개하는 것이 알맞다.
보안 전문가들 대부분 이를 암묵적인 규칙으로 받아들인다. 이번 사건의 경우 그룹IB의 취약점 제보 후 얼마 지나지 않아 개념증명용 코드가 나온 것이고, 아직 패치를 하지 않은 사용자들이 많기 때문에 한 동안 여러 해커들이 윈라의 익스플로잇을 시도할 것으로 예상된다.
느린 패치 적용, IT 생태계를 위협
구글은 윈라가 광범위하게 사용되는 유틸리티이며, 아직 패치 적용이 느리게 이뤄지고 있기 때문에 꽤나 시급한 상황이라고 보고 있다. 그래서 방어자들이 효과적으로 대응할 수 있도록 침해지표도 공개했다. 이를 통해 익스플로잇 되고 있는 시스템들은 스스로를 점검하여 대응을 할 수 있을 것이라고 한다.
윈라의 개인 사용자들은 어떻게 해야 할까? 일단 제일 먼저는 시스템 최신화다. 윈라는 물론 시스템의 모든 요소들을 점검해 예전 버전의 것이 그대로 사용되고 있는지, 있다면 얼마나 되고, 패치가 나왔는지를 확인하는 게 중요하다. “그리고 패치를 찾았다면 지체하지 말고 적용하는 게 필요합니다. 패치를 제 때 적용하는 것만 봐도 보안에 진심인지 아닌지를 어느 정도 알 수 있습니다.” 모건의 설명이다.
“이번 윈라 사태는 패치라는 게 보안에 있어 얼마나 중요한지를 다시 한 번 일깨워줍니다. 패치는 너무나 사소하고, 너무나 귀찮아서 대부분 그냥 넘어가기 쉬운 것인데요, 사실은 가장 효과적이고 실천적인 보안 강화 행위입니다. 이 것만 모두가 제대로 해줘도 지금 저희가 겪는 사건 중 상당수가 줄어들 겁니다.”
3줄 요약
1. 7월에 윈라에서 발견된 제로데이 취약점, APT 단체가 익스플로잇 중.
2. 패치가 나온 것은 9월이지만 아직 적용 제대로 되지 않음.
3. 그래서 공격자들도 패치가 나오건 말건 아랑곳하지 않고 공격 이어가고 있음.
[국제부 문정후 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
![[보안뉴스 / 10.20.] 패치가 필요해, APT 공격자들보다 빠른 패치가 필요해](https://mlsixs8vyvqc.i.optimole.com/U4pfbHs.KYFx~5c965/w:300/h:66/q:auto/https://cybersecurity.re.kr/wordpress/wp-content/uploads/2021/05/연구회-footer-로고.png "연구회 footer 로고")
