최신 자바 버전의 제로데이 취약점을 이용하는 대량의 공격이 출현했다.
해당 공격은 최신 버전인 자바7 업데이트 6에서도 동작되는 것으로 확인됐다. 28일 현재까지 오라클에 의한 보안패치가 제공되고 있지 않기 때문에 당분간 자바 제로데이의 파급효과는 더욱 심각해질 것으로 예상된다.
빛스캔, KAIST 사이버보안연구센터, 정보보호대학원이 공동으로 발표한 8월 4주차 최신 주간보안동향 자료에 의하면 지난 24일 저녁을 기점으로 최신 자바 버전의 제로데이 취약점 이용 공격이 다수 발생했다. 신규 발견된 자바 제로데이 취약점은 `sun.awt.SunToolkit` 클래스의 `getField` 메소드를 통해 자바 보안매니저를 우회해 코드를 실행시키기고 있다.
빛스캔 측은 “8월 4주차 공격 동향은 전체적으로 악성링크는 감소한 추세를 보이고 있는 가운데 특이 상황으로 자바 취약성만을 집중적으로 공격하는 세트가 다수 발견 됐다”며 “PC 사용자는 자바 애플릿이 포함된 웹 페이지 방문 시 특히 주의를 기울이고, 사용자는 최신 버전의 자바로 업데이트하여 기존 취약점을 제거해야한다”고 당부했다.
이처럼 8월 4주차에는 자바 취약점만을 이용한 악성링크 세트(SET)가 증가했는데 악성링크 세트(SET)는 악성코드 유포를 위해 악성링크 페이지 내 포함된 CVE 취약점의 리스트를 의미한다. 8월 4주차 공격에 사용된 악성링크 세트를 살펴보면, 전체 링크의 64.3%(18건)가 자바 취약점만으로 이루어져 있다. 악성링크 세트에 포함된 자바 취약점은 각각 CVE-2011-3544, CVE-2012-0507, CVE-2012-1723, 그리고 이번에 새로 발견된 제로데이 취약점이며, 자바6~ 자바7 업데이트 6까지의 자바 전체 버전이 본 취약점에 적용된다.
빛스캔의 PCDS(Pre-Crime Detect System)을 통해 수집된 8월 4주차 전체 신규 악성링크는 48건이다. 날짜별로는 8월 20일 2건, 8월 21일 2건, 8월 22일 3건, 8월 23일 1건, 8월 24일 11건, 8월 25일 6건, 8월 26일 3건으로 집계됐다. 3주차와 비교했을 때 전반적으로 새로운 악성링크의 출현 수는 감소한 것으로 나타났다.
악성링크의 유포에 사용된 취약점 통계를 살펴보면 자바 애플릿 취약점인 CVE-2011-3544(19건, 22.9%), CVE-2012-1723(18건, 21.7%), CVE-2012-0507(18건, 23.7%)가 많이 사용됐다. MS 취약점인 CVE-2012-1889(10건, 12.1%), CVE-2011-2110(1건, 1.2%)를 이용한 공격도 있었으며, 유의할 것은 금주 새로운 유형의 제로데이 취약점(17건, 20.5%)이 비교적 많이 사용됐다는 점이다.
장윤정기자 linda@etnews.com
