이제 브라우저 취약점 통해 최고 권한 도달하는 건 예삿일
샌드박스도 현실에서는 무용지물 되는 경우 많아

[보안뉴스 문가용] 브라우저 익스플로잇은 정보보안의 오랜 골칫거리다. 그냥 저냥 수준의 골칫거리도 아니고, 갈수록 깊어지고 심해지는 고통이다. 간단한 브라우저 취약점을 통해서도 시스템의 가장 높은 권한을 탈취할 수 있을 정도의 수준까지 되었으니, 이젠 더는 두고볼 수 없게 되었다.


올해 폰투온(Pwn2Own) 해킹 방어 대회에서 입상한 제로데이 이니셔티브(Zero Day Initiative, 이하 ZDI) 프로그램 팀원들은 “브라우저 취약점을 통한 공격으로 시스템의 핵심 부분까지 도달하는 경우가 늘어났다”며, “요즘 루트 권한까지 가지 않으면 마치 공격이 실패한 것처럼 보일 정도”라고 증언했다.

ZDI의 취약점 분석가이자 익스플로잇 개발자인 맷 몰린야웨(Matt Molinyawe)는 “역대 모든 폰투온 대회를 통틀어서도 올해는 매우 독특했다”며 그 이유에 대해 “입상자들 전원이 시스템의 가장 높은 권한에서 코드를 실행하는 데에 성공했기 때문”이라고 설명한다. “이번 대회에서 발견된 21가지 취약점들 모두 해당되는 사실입니다.”

이전 폰투온 대회는 어땠을까? “유저랜드(userland)의 취약점을 통해 코드를 실행하고 가장 높은 권한을 가진 사용자에까지 도달하는 건 굉장히 드문 일이었습니다.” 유저랜드란 사용자 애플리케이션이 아무런 리스크 없이 실행될 수 있는 커널 바깥쪽에 있는 개념적 공간이다.

왜 이런 현상이 일어나는 걸까? 역설적이게도 보안이 갈수록 발전하기 때문이다. 브라우저의 보안은 실제로 날이 갈수록 발전하고 있고 공격자들이나 보안 전문가들이나 어지간한 노력으로는 뚫을 수 없게 되었다. “폰투온에 참가해서 자신들의 공격 방법을 제출하려면 이전 보다 많은 시간과 집중력이 필요하게 되었습니다. 연구가 더 깊어지고 길어지니, 이전에 없던 공격방법들이 새로 생기는 기현상이 일어나는 것이죠.”

사실 최고 권한까지 도달하려면 취약점 하나 가지고는 모자라는 경우가 많다. 여러 가지 버그를 활용하는 것이 보통이다. “예전에는 브라우저를 통해 폰트 버그 하나만 발생시켜도 커널까지 접속이 가능했죠. 하지만 지금은 다양한 단계로 여러 가지 버그를 차근차근 밟고 올라가야 합니다. 최고 권한까지 도달해야 하는 ‘마음가짐’ 자체가 바뀌었어요.” ZDI의 수석 취약점 분석가인 조시 스미스(Josh Smith)의 설명이다.

그러다보니 기존의 방어 솔루션들이 하나둘씩 무용지물이 되어가고 있는 지경이다. 브라우저 보호로서는 이보다 좋을 수 없다고 알려진 샌드박스 기술조차 여기에 포함된다. 샌드박스 기술을 쉽게 농락하는 법을 공격자나 보안 전문가들이 개발한 것이 아니다. 오히려 갈수록 강력해지는 샌드박스 기술 때문에 ‘커널의 취약점’에 집중함으로써 샌드박스 기술이 아예 개입하지 못하도록 만드는 방식이 사용되고 있는 것이다.

“샌드박스는 정말 대단한 혁신이었죠. 기술적으로도 뛰어났고 이론적으로도 완벽했어요. 보안의 한 역사를 긋나 싶었죠. 하지만 현실적으로는 별 도움이 되지 않았어요. 샌드박스 때문에 공격이 실패했다거나 느려졌다는 보고는 거의 없었죠. 도로 위에 있는 가속방지턱 그 이상도 이하도 아니에요. 공격자들은 다른 길을 개척하면 그만입니다.” 스미스의 설명이다.

결국 공격자들에게 가장 필요한 건 ‘가장 약한 부분’이다. 어떤 층위에 있던 가리지 않는다. “그러니 이야기는 다시 원점으로 돌아옵니다. 보안에서 가장 중요한 건 ‘전부’입니다. 한 부분이라도 약하면 다른 부분이 아무리 강해도 소용이 없어요. 하나도 빠짐없이 강력해야만 의미가 있는 게 보안입니다. 그게 참 어렵긴 하지만요.”
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>