MS 오피스 제로데이 취약점 사례

이제 6월이 시작인데 생각보다 날씨가 많이 더워졌습니다. 온난화가 심해지면서 올해는 작년보다 더 더울거라고 하는데 걱정이 앞서는군요. 본격적인 여름이 시작되는 7월에는 예상만큼 너무 덥진 않기 바라면서, 이번 글에서는 MS 오피스의 제로데이 취약점 사례에 대해 말씀드릴까 합니다. 보안 이슈에 대해 계속 글을 쓰면서, 제로데이라는 단어를 제목에 쓴 적은 처음인 것 같은데요. 어떻게 보면 피싱 메일 사례에 속하기도 하겠지만, 이전에 계속해서 말씀드렸던 매크로를 이용한 문서형 악성코드와는 다르게, 문서를 열기만 해도 감염이 되는 취약점을 이용했기 때문에 오늘은 이 부분에 대해 자세히 설명드리도록 하겠습니다.

​

보통 피싱 메일은 해커가 메일을 받는 사람의 이목을 끌 수 있는 컨텐츠로 메일을 써서, 피싱 사이트로 로그인하도록 유도하여 계정 정보를 탈취한다던지, 첨부된 문서를 열어 악성 매크로를 수행하게끔 함으로써 사용자가 직접 악성코드를 실행하도록 했었는데요. 이러한 방식은 특정 취약점을 이용한 방법이 아닌, 사람의 심리를 이용한 사회 공학적 기법을 주로 사용했다고 보시면 됩니다. 그런데 오늘 말씀드리는 사례는 워드나 엑셀과 같은 MS 오피스 프로그램에서 사용되는 특정 모듈의 취약점을 이용한 케이스라서 조금 더 조심하셔야 할 것 같습니다.

​

사실 이 글을 읽는 분들이 대부분 보안을 잘 모르시는 분들이 많기에 여기서 해당 취약점이 어떻게 발생했고, 실제 공격 코드는 어떻게 되는지를 설명드리진 않으려고 합니다만, 그래도 기본적인 내용에 대해서는 말씀드리고 가겠습니다. 우선 제로데이(Zero-Day) 취약점이라는 것은 소프트웨어의 보안 패치가 나오지 않은 상태에서 발생한 취약점이라고 생각하시면 됩니다. 항상 소프트웨어를 최신 버전으로 유지하라고 말씀드리는게, 기존에 발생한 취약점들을 패치해서 공격에 대응해야하기 때문이었죠. 그런데 제로데이 취약점의 경우 해당 보안 패치가 존재하지 않기 때문에 취약점 패치가 나오기 전까진 공격에 노출되는 상태입니다.

​

이번 MS 오피스에서 발생한 제로데이 취약점은 오피스 프로그램에 내장되어 있는 msdt(Microsoft support Diagnostic Tool)이라는 모듈에서 발생했고, 해당 취약점을 이용하면 사용자가 문서를 열람할 때 특정 URL에서 추가 악성코드를 다운로드하고 실행할 수 있다고 합니다. 위에서 말씀드렸던 매크로를 이용한 문서형 악성코드는 사용자가 문서를 실행시키더라도 콘텐츠 사용 버튼을 누르지 않는 한 실행되지 않았는데, 이번에는 사용자가 문서를 읽기만 하면 악성 행위가 바로 실행되기 때문에 굉장히 위험한 취약점이라고 볼 수 있는거죠.

​

물론 아직까지 공식적인 패치가 나오지 않았지만 레지스트리에서 "HKCR\ms-msdt" 데이터를 삭제하면, 해당 모듈을 사용하지 않게 되면서 임시로 예방할 수 있습니다. MS에서 금방 보안 패치를 진행하겠지만, 혹시나 패치를 하지 않거나 오피스를 해적판으로 쓰는 분들이라면 이를 참고하셨으면 합니다. 또한 여러 보안 업체에서 워드와 같은 문서에서 msdt 모듈을 사용하면 차단하도록 안티바이러스에 행위 기반 진단을 추가할 수 있으니, V3와 같은 백신 업데이트도 항상 진행해서 최신으로 유지할 수 있도록 하면 해당 취약점에 어느 정도 대응할 수 있을 것 같습니다.

[긴급] MS 오피스, 제로데이 취약점 Follina 발견

아마 해당 취약점의 패치가 나올 때까지, 해커들이 피싱 메일에 이를 이용한 문서형 악성코드를 첨부해서 많이 보낼 것으로 보여지는데요. 메일에서 문서를 다운로드 받고 해당 문서를 클릭해서 열기만 해도 감염이 되니까, 꼭 메일의 보낸 사람의 주소를 확인하시고 조금 이상하다 싶으면 바로 삭제하는 것을 권유드립니다. 최근 들어서 피싱 메일에 여러 종류의 악성코드를 첨부해서 보내는 사례가 많아지고 있기 때문에 항상 주의를 기울이셔서 피해를 보시지 않으시길 바라고, 추후 해당 취약점에 대한 새로운 이야기가 있으면 다시 한 번 쓰도록 하겠습니다. 그럼 오늘은 여기서 마무리짓죠. 감사합니다.