[프라임경제] 북한 해킹조직이 사이버 공격에 무료 소프트웨어와 함께 설치되는 특정 '토스트' 광고 실행 프로그램을 악용한 것으로 드러났다. 토스트(Toast)란 PC화면 우측 하단에 솟아오르는 형태로 나타나는 팝업 알림을 말한다. 

안랩(053800) ASEC 분석팀과 국가사이버안보센터(NCSC) 합동분석협의체는 이같은 내용이 담긴 분석보고서를 16일 발표했다.

이번 보고서에는 지난 5월 안랩과 NCSC가 'TA-레드앤트(RedAnt)' 공격그룹의 대규모 사이버 공격에 대응하며 발견한 인터넷 익스플로러 브라우저 내 신규 제로데이 공격과 이를 이용한 공격에 대한 상세 분석 내용이 담겼다. TA-레드앤트는 RedEyes, ScarCruft, Group123, APT37 등으로 알려진 북한의 해킹조직이다.

이번 사례에서 공격자는 특정 토스트 광고 프로그램이 광고 콘텐츠를 다운로드 할 때 지원이 종료된 취약한 인터넷 익스플로러 모듈을 사용한다는 점을 노렸다. 

공격자는 먼저 토스트 광고 프로그램이 광고 콘텐츠를 다운(제공)받는 특정 국내 광고 대행사의 서버를 공격해 권한을 획득했다. 이후 해당 서버의 광고 콘텐츠 관련 스크립트에 취약점 코드를 삽입했다. 이 취약점은 토스트 광고 프로그램이 서버에서 콘텐츠를 다운로드 후 렌더링하는 과정에서 발현된다.

인터넷 익스플로러의 자바스크립트 엔진이 데이터 타입을 잘못 해석해 오류를 발생시키도록 유도하는 방식이다. 공격자는 이 점을 악용해 토스트 광고 프로그램이 설치된 PC에 악성코드 감염을 유도했다. 감염 이후에는 원격 명령 등 다양한 악성행위를 수행할 수 있다.

마이크로소프트는 지난 8월13일(현지시간 기준) 정기 패치로 보안취약점을 개선했다. ASEC와 NCSC가 해당 취약점을 신고한 데 따른 조처다. 

안랩 측은 "마이크로소프트는 2022년 6월 IE 지원을 종료했으나, 이번 사례와 같이 여전히 IE 모듈을 사용하고 있는 일부 윈도우 어플리케이션을 노린 공격이 꾸준히 발견되고 있다"며 "피해 예방을 위해 사용자는 운영체제 및 소프트웨어 등의 보안 패치 업데이트를 수시로 진행해야 한다"고 설명했다.

또한 소프트웨어 제조사는 제품 개발 시 보안에 취약한 개발 라이브러리 및 모듈 등이 사용되지 않도록 주의해야 한다고 당부했다.

이번 취약점을 발견한 안랩 ASEC 분석팀 김준석 선임연구원은 "이번 사례는 토스트 광고 프로그램을 악용해 공격을 시도한 것이 특징으로, 해당 프로그램이 취약한 인터넷 익스플로러 모듈을 사용한다는 점을 노려 대규모 피해가 발생할 수 있었다"고 말했다.

이어 송태현 선임연구원은 "최근 다양한 취약점을 악용한 공격이 증가하는 추세로, 피해 예방을 위해 사용자들은 운영체제 및 소프트웨어 등의 보안 업데이트를 정기적으로 진행하는 등 기본 보안수칙 준수가 매우 중요하다"고 강조했다.

합동 보고서 전문은 ASEC의 위협 인텔리전스 분석 정보 채널 'ASEC블로그'와 국가사이버안보센터 홈페이지에서 확인할 수 있다.