오라클에서 아직 패치를 배포하지 않은 자바 제로데이 취약성 `CVE-2012-4681`을 이용한 악성코드가 급격히 유포되고 있다.
빛스캔, KAIST CSRC(사이버보안연구센터)는 31일 중소기업에서 다수 사용하는 더존 ERP프로그램의 공식지정 교육기관 `D사`, 컴퓨터 쿨러 업체 `Z사`, 연예 패션브랜드 `M사` 등 최소 69개 국내 유명 웹사이트에서 자바 제로데이 취약성 악성코드가 발견됐다고 밝혔다. 또 여름 휴가철에 많이 방문하는 여행 사이트 중 하나인 `J` 등도 포함됐으며 그 외 언론, P2P, 커뮤니티 등 다수 사이트에서 관련 악성코드가 유포중인 것으로 발견됐다.
빛스캔 관계자는 “빛스캔의 PCDS(Pre-Crime Detect System)에서는 현재 국내외 약 130여 만개의 웹사이트를 모니터링 하고 있다”며 “본 자바 제로데이의 경우 지난 주말 69곳 정도의 사이트에서 방문자들에게 악성코드 감염을 시도, 다수 사용자가 감염된 것으로 추정된다”고 말했다.
최초로 발견된 시점은 지난 24일 저녁 8시 경 P2P 사이트 중 하나인 `R` 웹사이트다. 분석 결과, 취약점은 `sun.awt.SunToolit` 클래스의 `getField` 메소드로 자바 보안관리(JAVA Security Manager)를 우회하는 방법으로 코드를 실행시킨다. 가장 많은 피해를 준 악성코드 유포지는 `http://205.164.25.188/pic/pic.html`이며 국내외 최소 20여 웹사이트에서 유포됐다. 카이스트 사이버보안연구센터의 전문 분석으로 게임 계정 탈취가 목적임을 확인했다.
특히 이번 공격의 형태는 새로운 자바 취약점만으로 공격하는 단순한 형태가 아니라 기존의 자바 취약점도 함께 이용하는 방식으로 효율성을 극대화했다. 기존에는 약 60% 정도의 감염성공률을 보인 것으로 확인되었지만 자바 제로데이를 함께 사용함으로써 적어도 75% 이상으로 증가할 가능성이 높았다. 그 근거로는 기존에 공격하는 횟수가 최근 급속하게 줄어든 결과로 추정된다.
빛스캔 측은 “현재까지 완벽한 대응 방안은 없다”며 “제로데이의 특성상 오라클(개발사)에서 패치를 제공하지 않는 한 꾸준히 공격이 발생할 것으로 예상된다. 패치 배포 전까지 자바 사용을 자제하는 것이 좋다”고 당부했다.
장윤정기자 linda@etnews.com