체크포인트는 유명 미디어 플레이어 4종에서 자막 파일에 악성코드를 삽입해 PC, 스마트TV, 모바일 기기 등을 제어하는 취약점을 발견해 시연했다.
VLC, 코디(Codi), 팝콘타임(Popcorn Time), 스트레미오(Stremio) 등 4개 미디어 플레이어다. 체크포인트는 4종의 미디어 플레이어 사용자가 2억명에 달할 것으로 추정했다. 체크포인트는 4종 외 다른 미디어 플레이어 역시 유사한 취약점에 노출됐을 것으로 추정했다.
해커는 자막 취약점을 이용해 기기를 점령하고 중요 정보를 빼내는 것은 물론 랜섬웨어를 설치할 수 있다. 감염된 기기를 이용해 대규모 분산서비스거부(DDoS) 공격도 가능하다.
해당 취약점은 미디어 플레이어가 자막 파일을 처리하는 방식에 존재한다. 해커가 악용하면 미디어 플레이어를 내려 받은 수 억명의 기기를 제어할 수 있다. 보안 소프트웨어는 미디어 플레이어가 사용하는 자막은 정상 파일로 인식한다. 해커는 악성코드가 들어간 자막파일을 만들어 PC와 스마트TV, 스마트폰 등을 감염시키고 정보를 빼내거나 제어한다.
미디어 플레이어는 25개 이상 자막 형식을 처리한다. 사용자 경험을 높이기 위해 이런 기능을 사용하는데 보안에 취약하다.
체크포인트는 미디어 플레이어에 자막을 공급하는 구조 역시 해킹 위험을 높인다고 지적했다. 작가가 작성한 영화나 TV쇼용 텍스트 자막은 '오픈서브타이틀'과 같은 사이트에 올라온다. 일부 미디어 플레이어는 자막을 자동으로 내려 받는다. 해커는 오픈서브타이틀과 같은 사이트를 해킹한 후 자막 순위 등을 조작하고 악성코드가 들어있는 파일을 내려 보낸다.
체크포인트는 “4개 미디어 파일 개발자에게 취약점을 보고했으며 보안 패치가 개발될 때까지 세부 기술 사항을 공개하지 않는다”고 밝혔다. 체크포인트 측은 “스트레미오는 4.0 버전으로, VLC는 2.2.5 버전으로 업데이트하면 된다”면서 “사용자는 최대한 빨리 미디어 플레이어를 최신 상태로 업데이트하라”고 조언했다.
저작권자 © PRESS9 무단전재 및 재배포 금지