성능 및 기능을 일부 바꿔주는 기술, 보안 솔루션들이 이미 차용
보안 솔루션에 대한 신뢰가 높기 때문에 경보 무시할 가능성도 높아

[보안뉴스 문가용] 보안 전문업체인 엔실로(enSilo)가 최근 한 가지 문제로부터 여섯 가지 보안 이슈가 발생한다는 사실을 연구, 발표했다. 이는 이른바 코드 후킹(code hooking) 혹은 코드 주입(code injection) 기술(엔진)과 관련이 있는 것이라고 한다. 이 문제는 백신, 보안 플랫폼 등 15개 종류의 제품에서 공통적으로 발견되었으나 문제의 특성 상 더 많은 보안 제품들에서 추가로 발견될 가능성도 크다고 한다.


후킹이란 가상화, 샌드박스, 성능 관리(performance management) 기능을 주력으로 삼고 있는 제품들에게 있어 가장 중요한 기술 중 하나다. 여러 보안 솔루션들은 이런 기능들을 통해 악성 행동이 발생하는지를 관찰, 감독한다. 엔실로의 공동 창립자인 우디 야보(Udi Yavo)나 토머 비튼(Tomer Bitton)은 “원래는 한 가지 특정 안티멀웨어 제품의 후킹 엔진에 대해서만 파헤칠 생각이었다”며 “하지만 연구를 진행하다보니 비슷한 문제점을 가진 제품들이 많이 발견되었다”고 설명했다.

“보안 제품에 있어 후킹이나 주입 기술은 굉장히 중요한 부분을 차지하고 있다는 걸 알 수 있었습니다. 그럴 수밖에 없는 것이, 운영하는 시스템에서 실시간으로 일어나는 일들을 관찰하고 알아내야 하기 때문입니다. 하지만 결국 양날의 검입니다. 보안을 위해서 라고는 하지만 동시에 후킹/주입 때문에 보안이 위협받을 수도 있기 때문입니다.”

게다가 이미 보안 실무자들 사이에서 후킹 엔진의 사용은 ‘반드시 필요하다’는 인식이 잡혀 있어 문제는 계속해서 퍼져나갈 것이라고 예상된다. 더 심각한 건 이 ‘후킹 엔진 취약점’에 노출되어 있는 게 보안 제품만이 아니라는 것이다. “마이크로소프트의 디투어(Detours) 후킹 엔진에도 이런 문제가 있었습니다. 8월에 MS가 패치를 할 예정이긴 합니다.”

그렇기 때문에 후킹 엔진을 통해 들어오는 공격에 대해 경보가 떴을 때 담당자들이 ‘잘못된 경보’나 ‘노이즈’ 취급할 가능성이 크다. “널리 알려진 제품이나 보안 제품에서부터 취약점이 발견되거나 경보가 울린다는 건데, 보통 이런 제품들은 강한 신뢰를 얻고 있기 때문에 어지간해선 경보를 무시합니다.” 야보의 설명이다.

야보와 비튼은 후킹 엔진 및 기술과 관련하여 꽤나 많은 사례들을 발굴해 냈고, 이 취약점을 효과적으로 익스플로잇 하는 방법도 개발했다고 한다. 그리고 이 방법들은 ‘메이저’라고 불리는 여러 보안 제품들에게 잘 통했다. “AVG, 카스퍼스키, 맥아피, 시만텍, 트렌드마이트로, 비트디펜더, 웹루트, AVAST, 베라에서 나온 제품들 모두 이 취약점을 가지고 있었습니다.”

물론 취약점의 위험성이 다 똑같은 건 아니다. “어떤 제품의 경우, 원격 APT 공격을 가능하게도 할 정도로 치명적인 취약점을 가지고 있었습니다. 공격자가 주입 과정에 개입해 자신이 원하는 프로세스를 주기적으로 발동시키는 것도 가능했고요. 후킹 엔진과 주입 기술이 모두 취약할 때는 어마어마한 공격이 가능합니다.”

보다 기술적인 내용은 블로그를 통해 자세히 살펴보는 게 가능하다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>