텔레그램, 악성파일 실행할 수 있는 제로데이 취약점 발견
텔레그램 데스크탑 윈도우에서 보안 경고 우회하는 제로데이 취약점 발견
공유 동영상으로 위장해 사용자에게 가짜 동영상 클릭 유도...악성파일 실행할 수 있어[보안뉴스 김경애 기자] 텔레그램을 데스크탑 윈도우에서 사용할 경우 악성파일을 실행할 수 있는 제로데이 취약점이 발견됐다.
[이미지=텔레그램 홈페이지]
최근 XSS 해킹 포럼에서는 Telegram for Windows의 소스 코드에 있는 Python .pyzw 파일을 클릭하면 보안 경고를 우회하는 데 악용될 수 있다며 취약점이 공유됐다. 해당 취약점은 파이썬 파일을 썸네일과 함께 공유 동영상으로 위장해 사용자가 가짜 동영상을 클릭해 시청하도록 속일 수 있다.
해당 취약점과 관련해 리니어리티 한승연 대표는 “텔레그램에서 exe 같이 악성코드를 실행할 수 있는 파일을 받게 되면 경고창이 뜬다”며 “‘pyzw’ 확장자 또한 악성코드를 실행할 수 있기 때문에 경고창이 떠야 하지만, 텔레그램 개발자가 ‘pywz’로 오타를 내는 바람에 ‘pyzw’ 파일은 경고창 없이 실행이 된다”고 설명했다.
즉 텔레그램 개발자의 오타 실수로 인해 취약점이 발생했다는 의미다. 이로 인해 파일은 다른 실행 파일과 마찬가지로 텔레그램의 경고 없이 파이썬에 의해 자동으로 실행되는 것으로 드러났다.
이와 관련 텔레그램 측은 “파이썬 스크립트를 실행하는 데 사용되는 윈도우 앱 제로데이를 수정했다”며 “텔레그램은 보안 경고를 무시하고 자동으로 파이썬(Python) 스크립트를 시작하는 데 사용할 수 있는 Windows 데스크톱 응용 프로그램의 제로데이 취약점을 수정했다”고 밝혔다.
한승연 대표는 “아웃룩, 브라우저 등 많은 프로그램들은 exe 등의 확장자가 전송될 경우 악성코드의 실행 위험을 알리는 경고창을 제공한다”며 “간혹 이러한 보안 경고를 우회하는 취약점이 등장하곤 하는데, 이번에 제기된 텔레그램 취약점도 같은 종류의 취약점”이라고 설명했다. 이어 한 대표는 “경고가 제공되더라도 사용자가 실행할 수 있기 때문에 지속적인 인식교육과 함께 기업 내에서 실행되는 의심 파일을 탐지할 수 있는 보안체계 구축이 중요하다”고 강조했다.
또한 시큐리온 유동훈 대표는 “최근 텔레그램 파이썬 스크립트 허용 결함 이슈로 인해 개발 코드 상에는 패치가 반영됐으나, 텔레그램 데스크탑 웹에서 최신 파일로 설치해도 파이썬 zip 애플리케이션 실행 환경(zipapp)에 대한 경고가 추가되지 않은 상태”라며 “패치가 되지 않은 데스크탑 윈도 버전 사용자의 피해를 우려해 긴급하게 서버에서 pyzw 파일 전송 시 확장자 뒤로 untrusted를 붙이도록 변경된 것까지는 확인됐다”고 설명했다.
이어 유 대표는 “피해를 예방하기 위해서는 화면에 보여지는 썸네일과 관계없이 파일명에 실행 가능한 확장자를 포함하는 경우 주의해 실행할 필요가 있다”며 “다행히도 사용 중인 데스크탑에 파이썬 실행 환경이 구성되지 않는 경우 직접적인 결함 피해가 발생되지는 않는다”고 말했다.
스틸리언 신동휘 CTO는 “텔레그램처럼 사용자가 많고 파급력 있는 응용 프로그램이라면 이번에 니온 취약점 식별과 동일한 방식으로 주기적인 auditing을 통해 보안성을 높일 수 있다”고 말했다.