호환성 위해 마련한 예외 규정을 악용한 공격자들...인증서와 서명 조작

요약 : 보안 외신 해커뉴스에 의하면 중국의 해커들이 MS 윈도 정책의 허점을 익스플로잇 하여 커널 모드 드라이버들의 서명을 조작하고 있다고 한다. 서명 조작 후에는 악성 드라이버와 인증서를 자유롭게 활용할 수 있게 된다고 한다. MS는 이러한 행위를 시도한 개발자 계정을 파악했으며, 현재 그러한 계정들을 전부 삭제하고 있다고 한다. 아직 공격자들이 단체로 움직이는 특정 세력으로 보이지는 않는데, 조사를 더 이어가야 정확히 알게 될 것이라고 MS는 설명했다. 피해 규모에 대해서도 정확히 밝혀진 바가 없다.


배경 : 문제의 정책은 MS가 일부 드라이버와 인증서의 호환성을 유지하기 위해 마련한 예외 규정과 관련된 것이라고 한다. 이 예외 규정을 악용할 경우 가짜 인증서나 서명을 만들어 방어 장치에 걸리지 않게 하는 게 가능하다. MS는 이런 식으로 만들어진 가짜 인증서와 서명을 찾아 계속해서 삭제하는 중이다.

말말말 : “드라이버 서명과 인증서는 가짜와 진짜를 가려내는 1단계 방어선입니다. 이를 기초로 기능을 발휘하는 보안 솔루션들도 많이 존재합니다. 즉 가짜와 진짜를 헷갈리게만 만들어 두면 많은 보안 장치들도 바보로 만들 수 있다는 겁니다.” -해커뉴스-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>