완벽한 패치를 내놓지 않고 여유 부리는 이유  

[보안뉴스 주소형] 파급력 높은 취약점이 발견됐다. 모든 윈도우 버전은 물론 31여개의 중요 소프트웨어 제품에 영향을 미칠 수 있는데다가 하필이면 해당 소프트웨어들이 대중적으로 널리 쓰이고 있는 어도비·애플·오라클·시만텍 등의 제품이기 때문이다. 그런데 더 흥미로운 건 별로 패치 할 필요가 없다는 MS의 설명이다.

미국의 사이버 보안기업인 사일런스(Cylance)의 스피어(SPEAR)팀 브라이언 월리스(Brian Wallace) 연구원에 따르면 이 취약점의 이름은 “리다이렉트 투 SMB(Redirect To SMB)”다. 여기서 SMB(Server Message Block)는 윈도우 PC간에 파일공유를 할 때 필요한 도메인 네트워크 인증 프로토콜이다. 이 취약점은 네트워크 트래픽 제어방식을 비틀어 악성 SMB 서버로 우회시키거나 이미 해커가 자신의 것으로 만들어버린 악성 웹사이트로 우회시키는 방법으로 윈도우 PC 사용자들의 해당 로그인 정보를 탈취한다. 

이번 취약점에 대해 발표한 사일런스사는 해커들이 이를 악용하는 것은 시간문제라고 밝혔다. 해커들이 피해자 기기의 네트워크를 통해서 다른 곳으로까지 침투하여 정보를 훔치고, 연결돼 있는 다른 PC를 조종할 수도 있기 때문이다.

우리가 편리하게 사용하고 있는 어도비 리더(Adobe Reader), 애플 퀵타임(Apple QuickTime), 애플 아이튠즈 소프트웨어 업데이트(Apple iTunes Software Update), 인터넷 익스플로러 11(Internet Explorer 11), 윈도우 미디어 플레이어(Windows Media Player), 엑셀 2010(Excel 2010), 마이크로소프트 베이스라인 시큐리티 애널라이저(Microsoft Baseline Security Analyzer), 시만텍 노튼 시큐리티 스캔(Symantec Norton Security Scan), AVG Free, 비츠디펜더 프리(BitDefender Free), 코모도 안티바이러스(Comodo Antivirus), 넷 리플렉터(NET Reflector), 말테고 CE(Maltego CE), 박스 싱크(Box Sync), 팀뷰(Teamview), 깃허브 윈도우용(GitHub for Windows), 파이참(PyCharm), IntelliJ IDEA, PHP Storm, 오라클(Oracle JDK 8u31’s installer) 등과 같은 대중적인 애플리케이션과 개발자 툴은 모두 윈도우 API과 연결되어 있어 문제가 되고 있다.

심지어 아직 출시되지도 않은 윈도우 10 프리뷰에도 취약한 것으로 파악됐다. 이 취약점이 윈도우 버전에 따라 있거나 없거나 하는 게 아니라, 윈도우의 아주 기본적인 구성 안에 이미 포함되어 있다는 뜻이다. 이는 1997년에 비슷한 취약점이 이미 발견되었다는 사실, 그리고 모든 윈도우가 이 취약점에 노출되어 있다는 사실로 이미 증명되었다. 1997년 당시에도 도메인 네트워크 인증, 파일 공유, 원격 관리, 프린터 공유 프로토콜인 SMB를 활용해 사용자의 로그인 정보를 훔치는 버그가 발견되었는데, 이번에 발견된 것도 결국 그것의 확장판에 불과할 뿐이다.

그렇다면 의문이 생긴다. 왜 그렇게 오래된 버그가 지금에 와서 또 발견되어야 하는가? 답은 간단하다. 당시 마이크로소프트가 file:// URI 형태를 사용하여 익스플로잇이 가능했던 취약점을 완벽히 패치하지 않았기 때문이다. 다만 공격을 완화시킬 수 있는 방법을 제공했을 뿐에 그쳤다고 한다. 문제를 해결하는 대신 추가적인 보안 기능을 가진 EPA(Extended Protection for Authentication)를 내놓은 것이 다다. 따라서 윈도우 자체의 디폴트 설정을 바꾸지 않는 한 여전히 1997년도의 공격으로도 취약한 상황일 수밖에 없는 것이다.

상황이 그렇다보니 이 취약점을 이번에 재발견한 윌리스 연구원과 스페어팀은 해당 취약점에 “포레버 데이(forever day)”라는 이름을 붙였다. 과거에서부터 현재까지 지속되어 왔기 때문이라고 한다. 월리스 연구원과 동료들이 이번에 발견한 바에 의하면 이 취약점을 악용하면 공격자가 사용자 브라우저로부터 발생되는 HTTP/HTTPS 요청을 중간에 가로챌 수 있다. 이른바 중간자 공격이다. 여기서 말하는 HTTP/HTTPS 요청이란 소프트웨어 업데이트나 온라인 광고 등도 포함된다.

그렇다면 마이크로소프트 측은 왜 아직까지 패치를 내놓지 않고 있을까? 그들이 그런 여유를 부리고 있는 데는 나름의 이유가 있다. 해당 취약점은 몇몇의 조건들이 충족되어야 공격이 가해질 수 있기 때문이다. 완벽한 패치는 아니지만 어느 정도의 방어책을 제시해놨다는 것도 이런 행동에 대한 이유로 보인다. 마이크로소프트는 “해커만의 힘으로는 공격이 성립되지 않는 취약점이다. 공격에 걸맞은 환경이 사용자 측으로부터 조성이 되어야 한다”라고 밝혔다. 또한, 그는 “우리는 2009년부터 운영해오는 시큐리티 리서치와 방어(Security Research and Defense) 블로그를 통해 인증을 위한 방어책을 꾸준히 업데이트하고 있다. 사용자들의 보안상황에 대해 나몰라라 한 것이 아니다”라고 말했다.

그래서 이 시끄러운 취약점은 어디에 계속 숨어왔던 것일까? 월리스 연구원은 해당 취약점은 두 곳에서 존재할 수 있다고 밝혔다. 하나는 우리가 지금 알고 있는 윈도우와 SMB가 연결되는 방식에서, 나머지 한 개는 윈도우 API 라이브러리에 있다고 설명했다. “이 버그에 영향이 있는 소프트웨어들은 우회 기능을 가지고 있는 윈도우 라이브러리를 사용하거나 아예 그런 기능을 자체적으로 가지고 있는 종류의 포스트웨어들입니다.”

미국의 보안솔루션 기업인 라피드 7(Rapid 7)의 HD 무어(HD Moore) 수석 연구원은 해당 공격은 클라이언트를 신뢰할 수 없거나 악성 공격에 이미 감염되어 있는 네트워크로 옮겨버릴 수 있는 어마어마한 위험성을 내포하고 있다고 설명한다. “그러나 공격 조건이 성립되기 다소 까다로운 편이다. 사용자가 악성 이메일을 열어보거나 링크를 클릭하거나 등의 행동을 해야 공격이 가능하다”라며 “사용자의 특정 행동 없이 할 수 있는 공격이라고는 파일 공유나 프린터 공유와 관련된 SMB의 환경 설정에 조금 손을 댈 수 있는 정도다”라고 말했다.

윌리스 연구원은 이에 대한 현존하는 최대 방어책은 TCP 139와 445 포트를 차단하는 것이라고 설명했다. 즉 SMB과 커뮤니케이션 자체를 불가능하게 하는 것이다. 마이크로소프트 측도 방어정책을 내놓긴 했지만, 이는 다소 난해한 면이 있다고 그는 덧붙였다. “또한 사실 1997년부터 있는 버그라고는 하지만 이를 활용한 사고는 단 한 건도 없었다는 사실도 주목해야 합니다. 저는 개인적으로 그다지 큰 위협으로 보이지 않습니다. 위험 점수를 높이 줘봐야 10점 만점에 7점 정도?”

한편, 월리스 연구원과 사일런스 스피어팀은 이 같은 내용을 취약 경보를 해당 업체들에게 알리는 역할을 하는 카네기 멜론 서트(Carnegie Mellon CERT)에 보고했다고 밝혔다.

@DARKReading

[국제부 주소형 기자(sochu@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>