백신 프로그램의 메모리 할당 방식, 너무 일정해
알고도 방지하지 못하는 IT 환경의 태생적 약점

[보안뉴스 문가용] 올해 초 AVG의 백신 소프트웨어서 발견된 취약점이 인텔 맥아피와 카스퍼스키 등의 제품에도 존재하는 것으로 밝혀졌다. 이는 지난 3월 엔실로(enSilo)의 연구원들이 발견한 것으로 백신 제품들이 읽고 쓰고 실행하는 과정에서 메모리를 할당하는 방식에서부터 발현한다.


대부분 백신 제품들은 전형적인 주소를 사용하는데, 이게 너무 널리 알려져 있다 보니 멀웨어의 침입에 취약해지게 된다. 백신의 탐지 기능을 우회하는 게 여러 모로 간단해지고 있다는 뜻이며 백신이 사실상 백신이 아닌 게 된다는 뜻.

이것이 지난 3월에 있었던 발표의 골자였는데, 엔실로는 여기에 더해 같은 원리의 취약점이 카스퍼스키의 토털 시큐리티(Total Security) 15.0.2.361과 맥아피의 바이러스 스캔 엔터프라이즈(Virus Scan Enterprise) 8.8에도 존재한다는 걸 발견했다. 맥아피의 경우 안티 멀웨어 애드온 모듈, 스캔 엔진 32비트 5700.7163, DAT 7827.0000, 버퍼 오버플로우와 액세스 프로텍션 DAT 659버전에서도 해당 취약점이 발견되었다.

카스퍼스키와 인텔 맥아피, AVG 모두 이 취약점을 패치했다. 하지만 엔실로는 이 취약점이 특정 제품에만 해당되는 게 아니라 제품군 전체의 기본 바탕이 되는 원리에 기인하기 때문에 다른 백신 회사의 제품들에도 있을 가능성이 높다는 입장이다.

다행히 해당 취약점은 윈도우 XP, 비스타, 7의 환경에서만 익스플로잇이 가능하다. “윈도우 8에도 해당되는 문제이기도 한데, MS가 주소를 랜덤화시켰기 때문에 사실상 해결되었다고 봐야 합니다.” 엔실로의 공동 창립자인 토머 미튼(Tomer Bitton)의 설명이다.

비튼은 또 해당 취약점을 악용하면 백신 제품을 무용지물로 만들뿐 아니라 아예 공격자들을 위한 툴로 탈바꿈시킬 수도 있다고 한다. “문제는 코드를 커널에서부터 사용자 모드로 주입시킬 수 있다는 데 있습니다.” 이 문제는 백신 제품의 메모리 할당 환경을 조정해 읽기 기능만 되도록 하고, 쓰기 기능은 비활성화시키면 해결이 가능하다.

인텔과 카스퍼스키 모두 해당 오류를 수정했다. 엔실로나 엔실로의 보고서에 언급된 제조사들은 아직 해당 취약점이 익스플로잇 되는 것을 아직까지 발견한 바 없다. “이번에 발견된 취약점들은 지금 IT 환경이 가지고 있는 근본적인 약점을 보여줍니다. MS가 아무리 돈을 들여 OS 환경을 단단하게 만들어도, 여기에 설치된 제3자 애플리케이션까지 어떻게 할 수는 없죠. 그렇다고 이런 3자 애플리케이션이 없으면 윈도우도 있으나 마나한 환경이 되는 거고요. 아마 OS 제작자들로서는 밑빠진 독에 물을 붓는 느낌일 겁니다. 그런데 이를 어떻게 할 수가 없어요, 아직까지는.” 엔실로의 설명이다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>