요약 : 보안 외신 해커뉴스에 의하면 악성 DLL 파일을 피해자의 시스템에 로딩하는 새로운 수법이 발견됐다고 한다. WinSxS라는 폴더를 활용해 악성 실행파일을 실행시키는 것으로, WinSxS 폴더가 대다수 윈도 시스템에서 신뢰를 받고 있기 때문에 가능한 전략이라고 한다. 윈도 10과 윈도 11 플랫폼에서 이 전략은 위협이 될 수 있다. 다행히 공격자가 아니라 보안 업체 시큐리티조스(Security Joes)가 먼저 발견한 것으로, 윈도라는 OS가 외부 라이브러리를 처리하는 방법 자체의 문제를 파고들었기 때문에 공격이 성립할 수 있다고 시큐리티조스 측은 설명하고 있다.


배경 : WinSxS 폴더는 윈도 환경에서 매우 중요한 위치를 차지하고 있는 요소다. 시스템 내 요소들의 호환성과 무결성을 관리하고, OS를 사용자의 사용 패턴에 맞게 커스터마이징 하는 데 활용되기 때문이다. 그렇기 때문에 WinSxS가 관여된 OS 프로세스들은 시스템의 신뢰를 받게 되고, 따라서 별 다른 보안 점검을 받지 않는다.

말말말 : “아직 이 위협으로부터 안전해질 수 있는 방법이 마땅히 존재하지 않습니다. 하지만 통상 신뢰되는 바이너리들을 위주로 프로세스들 간 ‘부모-자식’ 관계를 모니터링하는 게 좋습니다. 특히 WinSxS 폴더와 관련이 있는 프로세스들을 예의 주시하는 걸 권합니다.” -시큐리티조스-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>