[파이낸셜신문 = 이광재 기자] 이셋코리아가 6일 마이크로소프트 윈도 운영체제의 ALPC LPE 제로데이 취약점을 이용한 ‘파워풀(PowerPool) 악성코드가 확산되고 있어 각별한 주의를 요망한다고 밝혔다.
ALPS LPE 제로데이 취약점은 지난 8월27일 GitHub를 통해 처음으로 공개됐으며 마이크로소프트 윈도7에서 윈도10 운영체제의 ALPC(Advanced Local Procedure Call) 기능에 영향을 미쳐 LPE(Local Privilege Escalation)을 허용한다. 따라서 일반 사용자가 실행한 프로세스가 관리자 권한을 획득할 수 있게 된다.
이 취약점이 알려진 후 2일 만에 이셋 분석팀은 파워풀 그룹에 의해 제작된 악성코드를 발견했는대 컴파일된 실행 버전뿐만 아니라 소스 코드까지 함께 공개되었기 때문에 누구나 익스플로잇을 수정함으로써 악용될 가능성이 매우 높다.
현재까지 이셋 및 바이러스토털(VirusTotal) 통계에 따르면 칠레, 독일, 인도, 필리핀, 폴란드, 러시아, 우크라이나를 비롯해 영국, 미국 등에서 이 취약점을 이용한 악성코드가 발견됐다.
현재까지 이 취약점을 해결하기 위한 패치는 제공되지 않고 있으며 이셋 제품은 해당 취약점을 이용한 악성코드 및 변종을 Win32/Agent.SZS 등 Win32/Agent 그룹으로 진단한다.
이셋코리아 김남욱 대표는 “널리 사용되는 운영체제의 취약점이 계속적으로 발견되는 현실을 고려할 때 운영체제의 업데이트와 패치는 매우 중요하지만 취약점이 발견되고 이를 해결하기 위한 패치가 발표되고 사용자 시스템에 적용되기 전까지는 해당 취약점에 그대로 노출될 수 밖에 없으므로 이에 대한 대비가 필요하다”며 “성능이 검증된 엔드포인트 보안 제품을 사용해 피해를 예방하는 것이 매우 중요하다고 볼 수 있다”고 전했다.
ALPS LPE 제로데이 취약점은 지난 8월27일 GitHub를 통해 처음으로 공개됐으며 마이크로소프트 윈도7에서 윈도10 운영체제의 ALPC(Advanced Local Procedure Call) 기능에 영향을 미쳐 LPE(Local Privilege Escalation)을 허용한다. 따라서 일반 사용자가 실행한 프로세스가 관리자 권한을 획득할 수 있게 된다.
이 취약점이 알려진 후 2일 만에 이셋 분석팀은 파워풀 그룹에 의해 제작된 악성코드를 발견했는대 컴파일된 실행 버전뿐만 아니라 소스 코드까지 함께 공개되었기 때문에 누구나 익스플로잇을 수정함으로써 악용될 가능성이 매우 높다.
▲ <제공: 이셋코리아> © 파이낸셜신문 |
현재까지 이 취약점을 해결하기 위한 패치는 제공되지 않고 있으며 이셋 제품은 해당 취약점을 이용한 악성코드 및 변종을 Win32/Agent.SZS 등 Win32/Agent 그룹으로 진단한다.
이셋코리아 김남욱 대표는 “널리 사용되는 운영체제의 취약점이 계속적으로 발견되는 현실을 고려할 때 운영체제의 업데이트와 패치는 매우 중요하지만 취약점이 발견되고 이를 해결하기 위한 패치가 발표되고 사용자 시스템에 적용되기 전까지는 해당 취약점에 그대로 노출될 수 밖에 없으므로 이에 대한 대비가 필요하다”며 “성능이 검증된 엔드포인트 보안 제품을 사용해 피해를 예방하는 것이 매우 중요하다고 볼 수 있다”고 전했다.
저작권자 © 파이낸셜신문 무단전재 및 재배포 금지