자바 제로데이(CVE-2012-4681) 공격코드가 악성코드 유포자들의 주요 유포방법으로 활용되고 있다. 아직 패치가 나오지 않았기 때문에 이 공격코드를 활용해 악성코들 유포하면 당해낼 제간이 없다. 실제로 공격자들은 24일 이후 자바 제로데이 취약점을 이용해 실제로 국내 사이트 10여 곳을 숙주로 악성코드를 뿌린 것이 확인돼 감염 PC가 상당할 것으로 추정된다.    
 
빛스캔(대표 문일준) 관계자는 “자바 제로데이가 최초로 발견된 시점은 지난 24일(금요일) 저녁 8시 경이며, 동적 분석을 통해 분석된 자료를 바탕으로 악성코드 유로지 차단장비인 큐브디펜스에 업데이트해서 대응하고 있다”며 “이후 익스플로잇과 악성코드 바이너리를 추가 분석, 새로운 제로데이 취약점임을 확인하고 Oracle/MITRE에 이메일로 통지한 바 있다”고 밝혔다.

 
분석 결과, 이 취약점은 sun.awt.SunToolit 클래스의 getField 메소드를 통해 JAVA Security Manager를 우회하는 방법을 통해 코드를 실행시키는 것으로 드러났다. 제로데이의 특성상 개발사인 오라클에서 보안 패치가 제공되고 있지 않기 때문에 이용자들의 상당한 피해가 예상되고 있다.
 
전상훈 빛스캔 기술이사는 “당사 PCDS(Pre-Crime Detect System)에서 모니터링 결과 악성코드를 유포하는 악성링크가 삽입된, 즉 해킹된 사이트가 최소 69곳으로 확인되고 있으며 해당 사이트들은 대부분 언론, P2P, 커뮤니티 사이트로 적어도 하루에 수 천명 이상 방문하는 곳들”이라며 “이를 통해 적어도 상당한 수치의 사용자 PC가 피해를 입었을 것으로 추정된다”고 설명했다.
 
또 “29일 현재까지 오라클에서 보안패치가 나오지 않기 때문에 당분간 자바 제로데이의 파급효과는 더욱 심각해질 것으로 예상된다”며 “사용자는 자바 애플릿이 포함된 웹 페이지 방문 시 특히 주의를 기울이고 각 브라우저 별 자바 애플릿 보안기능을 설정해 피해를 최소화해야 한다”고 당부했다.

더불어 그는 “공격자들은 제로데이가 나오는 즉시 한국에 제일 먼저 이용한다. 그만큼 한국의 악성코드 대응체계가 제대로 이루어지지 않고 있기 때문”이라고 안타까워했다.
 
<브라우저 별 자바 애플릿 보안기능 설정 방법>
◇MS Internet Explorer
[도구]-[인터넷 옵션]-[보안]-[사용자 지정 수준]-[스크립팅]-[Java 애플릿 스크립팅]을 ‘사용 안 함’으로 선택
 
◇Mozilla Firefox
[도구]-[부가 기능]-[플러그인]-[Java(TM) Platform SE]을 ‘사용 안 함‘으로 선택
 
◇Google Chrome
[도구]-[설정]-[고급]-[컨텐츠설정]-[플러그인] – 개별 플러그인 사용 중지 선택 후 Java 사용 중지
 
데일리시큐 길민권 기자 mkgil@dailysecu.com