[아이티데일리] 카스퍼스키(지사장 이효은)는 공격자가 브라우저의 샌드박스 보호 시스템을 우회할 수 있는 제로데이 취약점 ‘CVE-2025-2783’을 발견해 패치를 지원했다고 31일 밝혔다.

카스퍼스키 글로벌 연구 분석팀(GReAT)이 발견한 이 취약점은 단순히 악성 링크를 클릭하는 것 외에 사용자 개입이 필요하지 않았으며 기술적 복잡성이 높았다. 

이달 중순 카스퍼스키는 사용자가 이메일로 받은 맞춤형 피싱(Phishing) 링크를 클릭하는 순간 감염이 되는 공격을 탐지했다. 클릭 후에는 시스템을 손상하기 위한 추가 조치가 필요하지 않았다.

카스퍼스키의 분석 결과, 해당 취약점은 최신 버전의 구글 크롬(Google Chrome)에서 이전에 알려지지 않은 취약점을 악용한 사실이 확인됐다. 카스퍼스키는 이를 즉시 구글 보안 팀에 경고했고, 취약점에 대한 보안 패치는 지난 25일 배포됐다.

카스퍼스키 글로벌 연구 분석팀은 이번 공격 캠페인을 ‘오퍼레이션 포럼트롤(Operation ForumTroll)’이라고 명명했다. 공격자는 ‘프리마코프 리딩스(Primakov Readings)’ 초청장을 가장한 피싱 이메일을 보내 러시아 내 언론사, 교육 기관 및 정부 기관 등을 표적으로 삼았다.

악성 링크는 탐지를 회피하기 위해 짧은 시간만 활성화됐다. 취약점이 제거된 후에는 대부분 정상적인 프리마코프 리딩스 웹사이트로 재연결됐다.

크롬의 제로데이 취약점은 전체 공격 체인 중 일부에 불과했으며 최소 두 가지 취약점이 쓰인 것으로 추정된다. 아직 확인되지 않은 원격 코드 실행(RCE) 취약점이 공격을 시작했고, 카스퍼스키가 발견한 샌드박스 익스케이프(Sandbox Escape)는 두 번째 단계였다.

멀웨어 기능을 분석한 결과, 주된 목적은 스파이 활동으로 보이며 모든 증거가 지능형 지속 위협(APT) 그룹에 의한 공격임을 시사한다고 카스퍼스키 측은 설명했다.

카스퍼스키 보리스 라린(Boris Larin) GReAT 수석 보안 연구원은 “이 위약점은 마치 보안 경계가 존재하지 않는 듯이 크롬의 샌드박스 보호를 우회했다. 여기서 나타난 정교한 기술은 고도로 숙련된 공격자가 상당한 자원을 투입해 개발한 것으로 추정된다”고 밝혔다.

이어 보리스 연구원은 “모든 사용자에게 구글 크롬과 크로미움(Chromium) 기반 브라우저를 최신 버전으로 업데이트해 이 취약점에 대응할 것을 강력히 권장한다”고 덧붙였다.

이효은 한국지사장은 “이번 공격은 맞춤형 피싱 이메일로 확산하기에 잠재적 위협을 무시할 수 없다”며 “끊임없이 변화하는 사이버보안에 대응하기 위해 적시에 소프트웨어를 업데이트하고 다계층 보안 보호 조치를 채택해야 한다”고 강조했다.

한편 구글은 이 문제를 발견하고 공유한 카스퍼스키에 감사의 뜻을 전하며, 이는 글로벌 사이버 보안 커뮤니티와 협력하고 사용자 안전을 보장하기 위한 구글의 지속적인 노력을 반영하는 것이라고 밝혔다.