PE 파일 다운로드 하기 전 필터링하는 등 사전 차단 중요
기업 주도의 취약점 포상제 활성화 필요성 강조  

[보안뉴스 김경애] 국내에서 주로 사용되는 소프트웨어의 취약점을 악용한 공격이 지속적으로 발생하고 있다. 특히, 잇따른 금융보안 사고와 관련하여 액티브X 등의 취약점을 악용한 해킹공격이 발생하면서 SW 취약점에 대한 우려는 더욱 커지고 있는 실정이다.

이와 관련 한국인터넷진흥원의 윤재병 선임연구원은 The-K 서울호텔에서 열린‘PAraDOxCONference 2013’에서 ‘S/W 업데이트 관련 취약점 분석 및 대응사례’란 주제로 KISA가 운영하고 있는 취약점 포상제도 소개와 함께 액티브X의 취약점 및 대응방안을 제시했다. 

윤재병 선임연구원은 액티브X 취약점의 공격수준을 다음과 같이 5단계로 구분했다.

1단계는 업데이트 배포 파일 위치 조작이 가능하다.

2단계는 업데이트 관련 정보를 담은 파일의 위치를 임의로 조작할 수 있는 것이다. 이는 금융권에서 사용하는 결제 프로그램의 취약점이다.

3단계는 자동 실행 기능은 없으며, 소스파일을 임의로 선택하거나 임의로 클라이언트 로컬의 위치 선택이 가능한 것이다. 이는 금융권에서 관리자 권한으로 실행되기도 하고, 기본 프로그램으로 덮어버릴 수 있는 등 변조 가능성이 높다.

4단계는 자동 실행 기능은 없으며, 소스파일이 제한된 상태이나 클라이언트 로컬의 임의 위치 선택이 가능하다.

5단계는 설정 파일을 통한 업데이트로 도메인 필터링 우회와 무결성체크 우회가 가능한 취약점다.

이를 위한 대응방안으로 윤재병 선임연구원은 △파일 다운로드 소스파일 경로에 대한 필터링 △파일 다운로드 설정 파일에 대한 무결성 체크 강화 △다운로드된 업데이트 파일의 저장위치와 파일명 관리 강화 △다운로드된 업데이트 파일 실행 전 코드사인 등 무결성 체크 △업데이트 서버에서 업데이트 파일 변조 여부와 주기적 체크 △PE파일 다운로드 전 필터링하여 사전 차단이 중요하다고 제시했다.

특히, 윤재병 선임연구원은 “차단 PE 파일을 압축하거나 암호화해서 내보내는 경우가 많다”며 “이를 방지할 수 있도록 서로 정보가 공유되어야 하고 기업의 대응조치를 주문하고 있다”고 말했다.

아울러 윤재병 선임연구원은 현재 한국인터넷진흥원(이하 KISA)이 운영하고 있는 포상제도에 대해 소개했다. 이는 취약점을 이용하여 악성코드를 심는 등 악위적인 행동과 신규 취약점 수집 및 신고 활성화를 위해 최고 500만원의 포상금을 지급하고 있는 제도이다. 각종 사이버범죄 등이 급증하면서 이를 사전에 예방하고 문제를 해결하고자 포상제를 도입하게 되었다고 윤 선임연구원은 설명했다.