윈도XP 취약점 첫 발견, '지원 종료 8일 노려 공격 개시'

하우리 파밍 악성코드 'mbc.exe' 발견 … 윈도XP 버전 업그레이드 시급

하우리 APT 쉴드의 공격 차단 화면

아주경제 장윤정 기자 = 윈도XP 취약성을 노린 악성코드가 발견됐다.

윈도XP는 지난 8일 마이크로소프트에 의해 공식적으로 지원이 중단됐기 때문에 윈도XP 취약성을 노린 새로운 악성코드 공격이 발생할 경우 대비책이 없다. 

이번에 발견된 윈도XP 취약성을 노린 악성코드는 금융정보, 자산을 노리는 파밍 악성코드로 윈도XP 지원이 종료되는 시점을 노려 배포됐다. 

드디어 윈도XP를 겨냥한 해커들의 본격적인 공격이 시작된 셈이다. 

보안전문기업 하우리는 지난 8일 자사 취약점 공격 차단 솔루션인 '바이로봇 APT 쉴드(Shield)' 관제를 통해 윈도XP 취약점을 이용해 유포되는 파밍 악성코드 'mbc.exe'를 발견했다고 10일 밝혔다.

'mbc.exe' 악성코드는 파밍 악성코드로써 감염될 경우 호스트 파일을 변조해 정상적인 인터넷 뱅킹 및 포털 사이트 접속 시 해커가 만들어놓은 가짜 사이트로 유도하고 금융 개인정보를 탈취한다.

이 악성코드는 기존에 'kbs.exe'로 유포되었으나 윈도XP 지원이 종료되는 8일을 기점으로 이름이 'mbc.exe'로 변경, 유포되고 있다.

해당 악성코드는 윈도XP의 웹 브라우저인 인터넷 익스플로러 8 버전의 취약점을 이용해 유포되며, 취약점 패치를 하지 않은 PC에 사용자가 모르게 저절로 악성코드를 설치한다.

주로 웹하드 및 쇼핑몰 등 사용자가 많이 방문하는 사이트를 통해 유포되며 웹사이트를 접속하는 것만으로 악성코드에 감염되어 피해자가 계속해서 발생하고 있다.

또한 해당 악성코드는 취약점으로 유포 시 서버사이드 폴리모피즘(Server-side polymorphism) 기법을 사용, 감염되는 사용자마다 각각 다른 변종의 악성코드가 설치되기 때문에 감염된 사용자의 PC에서 나타나는 악성코드 파일은 전부 다르다.

따라서 해쉬기반 백신의 경우에는 모든 파일을 진단하는 것이 어려우며, 근본적으로 취약점을 해결하는 것이 필요하다.

윈도XP에 대한 지원이 모두 중단된 현 시점에서 윈도XP의 웹브라우저인 인터넷 익스플로러 8 버전에 대한 취약점을 해결하는 보안 업데이트도 전부 중단된 상태다.

따라서 새로운 취약점이 발견된다면 사용자들은 무방비 상태로 공격에 노출될 수 밖에 없다.

최상명 하우리 차세대보안연구센터장은 “윈도XP에서는 더 이상 인터넷 익스플로러에 대한 지원이 되지 않기 때문에
크롬과 같은 계속 해서 보안 업데이트가 제공되는 다른 웹 브라우저를 사용하는 것이 좋다”라며 “계속해서 XP를 사용할 수 밖에 없는 상황이라면 ‘바이로봇 APT 쉴드’와 같은 무료로 제공되는 취약점 공격 사전 차단 솔루션을 사용하는 것이 최선”이라고 밝혔다.