2018년 9월 6일 (목)

유럽의 엔드포인트 보안 전문 업체 ESET(이셋)의 국내 대표 법인 이셋코리아(http://www.estc.co.kr)는 마이크로소프트 윈도우 운영체제의 ALPC LPE 제로데이 취약점을 이용한 PowerPool 악성코드가 확산되고 있어 각별한 주의를 요망한다고 전했다.

ALPS LPE 제로데이 취약점은 2018 년 8 월 27 일 GitHub를 통해 처음으로 공개되었으며, 마이크로소프트 윈도우 7에서 윈도우 10 운영체제의 ALPC(Advanced Local Procedure Call) 기능에 영향을 미쳐 LPE(Local Privilege Escalation)을 허용한다. 따라서 일반 사용자가 실행한 프로세스가 관리자 권한을 획득할 수 있게 된다.

이 취약점이 알려진 후 2일 만에 ESET 분석팀은 PowerPool 그룹에 의해 제작된 악성코드를 발견하였는데, 컴파일된 실행 버전 뿐만 아니라 소스 코드까지 함께 공개되었기 때문에 누구나 익스플로잇을 수정함으로써 악용될 가능성이 매우 높다. 현재까지 ESET 및 VirusTotal 통계에 따르면 칠레, 독일, 인도, 필리핀, 폴란드, 러시아, 우크라이나를 비롯해서 영국, 미국 등에서 이 취약점을 이용한 악성코드가 발견되었다.

현재까지 이 취약점을 해결하기 위한 패치는 제공되지 않고 있으며, ESET 제품은 해당 취약점을 이용한 악성코드 및 변종을 in32/Agent.SZS 등 Win32/Agent 그룹으로 진단한다.

이셋코리아의 김남욱 대표는 "널리 사용되는 운영체제의 취약점이 계속적으로 발견되는 현실을 고려할 때 운영체제의 업데이트와 패치는 매우 중요합니다. 하지만 취약점이 발견되고 이를 해결하기 위한 패치가 발표되고 사용자 시스템에 적용되기 전까지는 해당 취약점에 그대로 노출될 수 밖에 없으므로 이에 대한 대비가 필요합니다.” 면서 “성능이 검증된 엔드포인트 보안 제품을 사용하여 피해를 예방하는 것이 매우 중요하다고 볼 수 있습니다."고 전했다.