PDF 너마저…제로데이 공격 주의보

가 +
가 -

자바와 어도비 플래시 플레이어에 이어 PDF 리더까지 제로데이 공격 주의보가 확대됐다. 제로데이란 컴퓨터 소프트웨어의 취약점을 공격하는 기술적 위협으로, 패치가 발표되기 이전의 공격을 제로데이 공격이라고 한다. 패치가 나오기 전까지는 제로데이 공격에 대응할 방법이 마땅히 없다는 점에서 위험한 보안 공격으로 꼽힌다.

최근 PDF 리더에 보안 취약점을 노린 제로데이 공격이 발생했다. 컴퓨터월드를 비롯한 미 외신은 각 보안업계 관계자의 말을 빌려 출처를 알 수 없는 PDF 문서는 아예 열지 말라고 경고에 나섰다. 이번에 발견된 보안 위협은 보안 솔루션 업체인 파이어아이에서 발견했다. 파이어아이는 자사 블로그를 통해 “PDF 리더 취약점을 이용해 PDF 문서를 감염시켜 악성코를 배포하는 걸 발견했다”라며 “PDF리더 9.5.3., 10.1.5, 11.0.1 버전에서 제로데이 공격이 이뤄지고 있다”라고 설명했다.

pdf zeroday

이번에 발견된 제로데이 공격은 악성코드에 감염된 2개의 PDF 문서를 통해 발생한다. 첫 번째 파일은 가짜 오류 메시지를 표시해 악성코드에 감염된 PDF 파일을 열게 만든다. 두 번째 문서는 오류를 해결했다며 복구하는 형태의 창을 띄워 사용자를 속인다. 파이어아이는 해당 문서들을 실행하면, 원격 도메인에 또 다른 악성코드를 설치하는 식으로 악성코드를 전파한다고 말했다.

이번에 발견된 취약점은 동적 링크 라이브러리(DLL)를 호출하는 과정을 이용한 것으로 알려졌다. 윈도우, 맥OS X, 리눅스 운영체제용 PDF 리더 모두에 영향을 준다. 파이어아이는 지난 1월 어도비가 패치를 발표한 윈도우와 맥킨토시용 11.0.01, 10.1.5와 윈도우와 맥킨토시, 리눅스용 9.5.3에서 문제가 발견됐다고 전했다.

파이어아이는 “현재 이 PDF 파일이 어떻게 유포됐는지에 대해서는 감염경로를 찾아내지 못했다”라며 “어도비 팀에 관련된 보안 샘플을 보낸 상태”라고 말했다.

이에 대해 헤더 에델 어도비 기업 커뮤니케이션 수석 매니저는 “현재 해당 보안 취약점을 조사하고 있다”라며 “어도비 제품 보안 사고 대응팀에 올라온 내용을 수시로 확인해 줄 것을 당부한다”라고 말했다.