MS의 2월 정기 패치는 취약점 수도 적었고, 치명적인 위험도를 가진 취약점은 0개였다. 하지만 시급히 패치를 해야 할 취약점이 없는 건 아니다. 전문가들이 빠르게 패치해야 할 취약점들을 몇 가지 추려주었다.

[보안뉴스 문가용 기자] 이번 달 MS 정기 패치는 치명적 위험도의 취약점이 하나도 없다는 점에서 이례적이었다. 취약점의 절대적 수량도 꽤나 낮은 편이었다. 그럼에도 패치를 관리하는 보안 담당자들이 절대 안심해서는 안 된다는 경고가 나오기 시작했다. 일부 취약점들은 꽤나 시급한 패치를 요구하고 있기 때문이다.


가장 시급히 패치해야 한다고 평가를 받는 건 윈도 DNS 서버에서 발견된 원격 코드 실행 취약점인 CVE-2022-21984, 윈도 32K의 권한 상승 취약점인 CVE-2022-21989, 셰어포인트 서버의 원격 코드 실행 취약점인 CVE-2022-22005이다. 이 외에 윈도 프린트 스풀러(Windows Print Spooler)에서 발견된 4개의 취약점도 손꼽힌다. 참고로 프린트 스풀러 취약점 중 1개는 이미 익스플로잇이 존재한다.

트렌드 마이크로(Trend Micro)의 제로데이 이니셔티브(ZDI) 홍보 담당자인 더스틴 차일즈(Dustin Childs)는 “치명적 취약점이 하나도 없다고는 하지만 전체 51개 취약점들 중 50개가 고위험군에 속한다”며 “대단히 위험한 취약점들이 수두룩하게 포함된 정기 패치였다”고 말한다. 그런 차일즈는 CVE-2022-21984를 가장 위험한 취약점으로 꼽는다. “DNS 서버는 공격자들이 가장 좋아하는 공격 대상 중 하나입니다. 여기서 발견된 고위험군 취약점? 당연히 공격자들의 관심을 끌죠.”

CVE-2022-21984에 대해 MS는 그리 상세히 공개하지 않았다. 기밀성, 무결성, 가용성에 손상을 줄 수 있으며, 익스플로잇 난이도가 높지 않고, 낮은 권한으로도 공격할 수 있다고 경고했다. 사용자가 개입하지 않아도 익스플로잇이 가능하기 때문에 실제 공격 가능성이 높다고 평가하기도 했으나, 기술적 세부 내용은 공개된 게 거의 없다.

하지만 보안 업체 트립와이어(Tripwire)의 타일러 레걸리(Tyler Reguly)는 “DNS 서버에서 발견된 취약점은 DNS 서버에서 발견됐다는 것 자체만으로 심각한 문제”라고 말한다. “다만 기술적 세부 사항을 공유해야 보다 명확하고 정교한 대처가 가능한데, MS가 아직도 그런 점을 간과한 채 경고문을 발표하고 있어 아쉽습니다. 지금으로서는 큰일은 맞는데, 어느 부분을 손대야 할지 잘 모르겠다는 반응이 나올 수밖에 없습니다.”

프린트나이트메어의 악몽은 계속되고
그 다음으로 보안 전문가들이 서둘러 패치하라고 권고하는 건 프린트 스풀러에서 발견된 4개의 취약점들이다. CVE-2022-21999, CVE-2022-22718, CVE-2022-21997, CVE-2022-22717이며, 전부 권한 상승을 일으킨다. 프린트 스풀러는 거의 모든 윈도 시스템에 존재하는 도구이기 때문에 여기서 발견된 취약점은 이 세상 거의 모든 조직들에 영향을 준다. 그래서 공격자들도 익스플로잇을 부지런히 개발하며, 실제 CVE-2022-21999 취약점의 경우 익스플로잇이 활성화 되어 있는 상태다.

보안 업체 이머시브 랩스(Immersive Labs)의 위협 연구 국장인 케빈 브린(Kevin Breen)은 지난 해 수많은 조직들을 괴롭혔던 프린트나이트메어(PrintNightmare) 취약점 사태에 대해 기억해야 한다고 말한다. 프린트나이트메어 취약점 역시 프린트 스풀러에서 발견됐으며, 일종의 원격 코드 실행 취약점으로 분류됐다. 원격의 공격자들이 이를 익스플로잇 함으로써 장비에 대한 제어권한을 가져갈 수 있게 해주는 취약점이었고, 이 때문에 미국의 CISA가 공식적으로 경고문과 패치 권고문을 발표하기도 했다.

항상 위험한 커널
그 다음 언급되고 있는 중요 취약점은 윈도 32의 커널 권한 상승 버그인 CVE-2022-21989이다. 이 취약점의 경우 보안 전문가들이 만든 ‘개념증명용’ 익스플로잇 코드가 이미 존재한다. MS는 이 취약점에 대한 실제 익스플로잇 가능성이 굉장히 높다고 보고 있으며, 실제로 익스플로잇에 성공할 경우 공격자들은 권한을 상승시켜 임의의 코드를 실행하거나 저장된 데이터나 디지털 자원에 접근할 수 있게 된다.

보안 업체 이반티(Ivanti)의 부회장 크리스 괴티(Chris Goetti)는 “개념증명용 코드가 공개되기 시작하면 실제 익스플로잇 코드가 빠르게 등장하는 것이 보통”이라고 말한다. “이 취약점은 앱컨테이너(AppContainer)에 국한되어 있습니다. 앱들을 서로로부터 격리시키는 기능인데, 이 취약점을 익스플로잇 하면 높은 권한을 가져감으로써 이 앱에서 저 앱으로 넘나들 수 있게 됩니다.”

여기에 더해 브린은 셰어포인트 서버의 원격 코드 실행 취약점인 CVE-2022-22005에 대해서도 경고한다. MS도 “익스플로잇 가능성이 높은 취약점”으로 꼽은 바 있다. 이 취약점을 익스플로잇 하는 데 성공할 경우 공격자들은 기밀 정보나 문서들에 접근해 훔치거나 대체할 수 있다고 한다.

진짜 문제는 취약점 정보의 공개 수위
레걸리는 “MS가 정기 패치일을 유지하고 지켜주는 건 좋은데, 갈수록 공개하는 정보의 질이 떨어지고 있다”고 말한다. “결국 각 담당자들이 제각각의 환경과 상황에서 대처할 수 있게 해 주는 정보가 거의 없는 수준이라고 봐도 무방합니다. 이건 지난 수년 동안 여러 사용자 기업들에서 제기한 문제입니다만 전혀 고쳐지지 않고 오히려 악화되고 있습니다. 그래서 보다 정확한 결정을 내리는 게 점점 더 어려워지고 있습니다.”

여기에는 브린도 동의한다. “보통 CVE 정보를 공개할 때는 요약 정보와 상세 정보를 같이 포함시킵니다. 상세 정보에는 정확히 어떤 요소에서 취약점이 발견되었고, 또 어떤 식으로, 어떤 맥락과 상황에서 공격이 이뤄질 수 있는지가 포함됩니다. 하지만 2020년 11월부터 MS는 이런 정보들을 잘 넣지 않고 있습니다. 그래서 MS의 취약점 발굴 및 알림 노력이 이전만큼 유용하지 않습니다.”

3줄 요약
1. 2월의 정기 패치는 양이나 질적인 측면에서 역대 최고로 ‘가벼움.’
2. 하지만 시급하게 패치를 적용해야 할 취약점들이 존재함.
3. DNS 서버 취약점, 윈도 커널 취약점, 프린트 스풀러 취약점들은 시급히 다뤄져야 함.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>