카스퍼스키가 크롬(Chrome) 브라우저의 샌드박스 보호 시스템을 우회하는 정교한 제로데이 취약점(CVE-2025-2783)을 발견했다. 해당 취약점은 사용자가 악성 링크를 클릭하는 것만으로 감염이 가능하며 기술적 복잡성이 높은 형태로 탐지됐다.
카스퍼스키는 이메일로 유포된 맞춤형 피싱 링크를 탐지했다. 사용자가 해당 링크를 클릭하면 추가 조치 없이 감염이 발생하며 이 익스플로잇은 최신 버전의 크롬에서 이전에 알려지지 않은 취약점을 악용한 것으로 분석됐다. 카스퍼스키는 즉시 구글에 경고를 전달했고 지난 25일 보안 패치가 배포됐다. 카스퍼스키 글로벌 연구 분석팀은 이 취약점을 발견한 공로로 구글로부터 감사 인사를 받았다.
카스퍼스키는 이번 공격을 ‘Operation ForumTroll’로 명명했다. 공격자는 러시아 언론사, 교육기관, 정부기관 등을 표적으로 삼고 ‘Primakov Readings’ 포럼 초청장을 사칭한 이메일을 발송했다. 악성 링크는 탐지를 피하기 위해 짧은 시간만 활성화됐으며 익스플로잇 제거 후에는 정상 웹사이트로 연결됐다.
해당 제로데이 취약점은 공격 체인의 일부로 최소 두 개의 익스플로잇이 사용된 것으로 분석됐다. 첫 번째 단계는 확인되지 않은 원격 코드 실행(RCE) 익스플로잇, 두 번째 단계는 카스퍼스키가 탐지한 샌드박스 우회 공격이었다. 공격은 주로 스파이 활동 목적이며 APT 그룹의 소행으로 추정된다.
카스퍼스키는 이번 공격 탐지에 사용된 보안 기술로 Kaspersky Next EDR Expert를 언급했다. 이 솔루션은 고도화된 미확인 멀웨어를 탐지하는 Kaspersky Next XDR 플랫폼의 핵심 구성 요소로, 제로데이 익스플로잇 탐지와 분석에 중요한 역할을 했다.
카스퍼스키는 이번 공격이 수년간 발견된 제로데이 중에서도 높은 정교함을 지닌 것으로 평가했다. 브라우저의 보안 경계를 무력화하고 샌드박스를 우회하는 방식은 고도로 숙련된 공격자가 상당한 자원을 투입했음을 시사한다. 카스퍼스키는 모든 사용자에게 크롬과 Chromium 기반 브라우저의 최신 버전 사용을 권장했다.
더불어 이번 공격은 한국을 포함한 다양한 국가의 사이버 보안 위협에 경각심을 주는 사례로 언급됐다. 카스퍼스키 한국지사장은 기업과 정부 기관이 이메일 보안 강화, 소프트웨어의 적시 업데이트, 다계층 보안, Threat Intelligence 활용 등 대응 전략을 강화해야 한다고 강조했다.
이어 카스퍼스키는 Operation ForumTroll에 대한 조사를 지속하고 있으며 익스플로잇 및 악성 페이로드의 기술적 세부 사항은 추후 보고서를 통해 공개할 예정이다. 현재 카스퍼스키의 모든 제품은 이 공격 체인과 관련된 익스플로잇 및 멀웨어를 탐지하고 보호 기능을 수행 중이다.
헬로티 구서경 기자 |
