[보안뉴스 오병민] MS 윈도우에서 이용하고 있는 많은 애플리케이션들이 DLL파일에 대한 경로 검증 취약점에 노출돼 비상등이 켜졌다. 이 취약점에 노출된 애플리케이션은 악성코드가 포함된 DLL파일을 실행시켜 개인정보나 금융정보 노출 및 DDoS 공격에도 악용될 수 있다.

MS는 지난 23일(미국 현지시간) 윈도우상의 특정 애플리케이션에서 DLL을 로딩할 때 적절한 경로 검증을 하지 않아 원격코드의 실행이 가능한 취약점에 대한 보안권고(2269637)를 발표했다. 이는 DLL 프리로딩(Preloading) 또는 바이너리 를랜팅(Binary Planting)이라고 불리는 DLL하이잭킹(Hijacking)공격으로, 애플리케이션이 DLL 파일을 로딩할 때 악성 DLL파일을 정상적인 DLL파일로 인식시켜 로딩 시키는 것이 핵심이다. 

윈도우 운영체제가 프로그램이 요청한 DLL 파일을 로딩 하는 과정에서 발생하는 구조적 문제점으로 인해, 원격의 공격자로부터 악의적인 명령코드의 실행을 허용할 수 있는 문제점이 존재한다. 공격자는 WebDAV나 네트워크 공유 서비스를 연 후, 사용자로 하여금 DLL Preloading 취약점이 존재하는 프로그램의 실행을 유도하는 방식으로 공격을 수행할 수 있다.

현재 해당 취약점에 대한 패치는 발표되지 않았으며, 윈도우 운영체제에서 동작하는 프로그램 중 상당수가 이 취약점에 노출된 것으로 확인되고 있어 사용자의 주의가 필요한 상황이다.

현재 이 취약점에 노출된 것으로 확인되는 애플리케이션은 MS 오피스 2007, 인터넷 익스플로러 8, 파이어폭스, 크롬, 오페라를 비롯하여 PDF 뷰어 프로그램인 어도비 리더, Foxit 리더, 메신저 프로그램 등 대부분의 윈도우 애플리케이션들이 해당 취약점에 노출된 것으로 확인됐다. 게다가 국내에서 주로 이용되는 워드프로세서와 압축해제, 포토뷰어 프로그램도 이 취약점에 노출돼 패치가 필요한 상황이다.

이 취약점에 노출된 애플리케이션은 대부분 모든 PC이용자들이 주로 사용하고 있어 보안업계의 발 빠른 조치가 요구되고 있다. 가령 공격자가 이 취약점을 악용하면, 워드 문서 파일이나 파워포인트, PDF 파일 등을 악성코드와 함께 메일로 보내 공격할 수 있게 된다. 아울러 공격자가 이메일로 특정주소(WebDAV 공유폴더 주소 등)을 보내 사용자가 폴더 안에 해당 문서파일이나 PPT파일을 클릭할 경우에도 공격에 노출될 수 있다.

현재 외국 보안업계에서는 해당 취약점에 대한 위험성을 경고하는 메시지가 줄을 잇고 있다. Rapid7 보안연구자인 HD Moore는 최근 발표 됐던 LNK 제로데이 취약점을 연구하는 과정에서 다수의 윈도우 애플리케이션에 원격 코드 실행공격이 가능한 문제를 발견했다고 자신의 트위터를 통해 밝혔다. 또한 지난 8월 12일 발표된 애플 아이튠즈 9.1 보안업데이트에서도 DLL 하이잭킹과 관련한 내용을 찾아볼 수 있다. 애플 취약점은 아크로스 시큐리티(Acros Security)에서 보고했으며, 이 회사의 CEO 콜섹은 많은 윈도우 애플리케이션이 이 취약점에 노출됐다고 전하기도 했다.

최상명 하우리 사전대응팀장은 “해커가 이메일 또는 네트워크 공유 폴더, USB 등을 통해서 악성코드 유포 및 해킹에 이 취약점을 사용할 수 있으므로 주의가 필요하다”면서 “윈도우 호환 프로그램 개발 시 보안 고려사항에 라이브러리를 로드하는 LoadLibrary와 같은 함수 사용시 DLL의 전체 경로를 사용하거나, SetDllDirectory 함수를 사용하여 현재 파일이 실행되는 경로를 제외하는 등의 조치를 취해야 한다”고 조언했다.

[오병민 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>