윈도우의 애플리케이션 베리파이어 통해 가짜 베리파이어 삽입
백신 업체들은 “높은 권한이 전제되어 있어야만 가능한 공격”

[보안뉴스 문가용 기자] 안티바이러스 툴이 멀웨어 공격 툴로 둔갑한다는 보고서가 나와 백신 업체들이 발칵 뒤집혔다. 멀쩡한 백신 툴을 둔갑시키는 이 공격은 더블에이전트(DoubleAgent)라고 불리며, 윈도우에 설치되어 있는 툴인 마이크로소프트 애플리케이션 베리파이어(Microsoft Application Verifier)를 악용하는 것으로 나타났다. 이 공격에 영향을 받는 백신 제조사는 시만텍, 트렌드 마이크로, 카스퍼스키, ESET 등이다. 이 보고서를 발표한 건 보안 전문업체인 사이벨럼(Cybellum)이다.


사이벨럼의 보고서에 따르면 위에 언급된 업체에서 나온 모든 제품들을 멀웨어로 둔갑시키는 게 가능하며, 이를 통해 사용자를 스누핑하고, 데이터를 훔쳐내며 네트워크 내에서 이동해가며 공격할 수도 있다. 게다가 겉보기에는 백신 제품이기 때문에 멀웨어로 인식하기가 매우 어려워 공격 지속력도 꽤나 높은 편이라고 한다. “공격자들은 탐지망을 다 피해가면서 백신을 자기 통제권 아래 둡니다. 일반 백신인 척 하면서 뒤에서 공격을 감행하는 것이죠.” 사이벨럼의 CEO인 슬라바 브론프만(Slava Bronfman)의 설명이다.

브론프만은 이 문제점을 이미 수개월 전에 발견했고, 마이크로소프트와 백신 업체들에 모두 알렸다고 밝혔다. “90일도 훨씬 전에 이 공격방법을 제조사들에 알렸습니다. 패치할 시간을 충분히 준 것이고, 지금 와서 보고서를 발표하는 건 패치가 나온 제품의 패치노트를 공격자들이 꼼꼼하게 점검했을 때 더블에이전트 공격의 실현이 가능해질 수 있기 때문입니다.”

애플리케이션 베리파이어는 윈도우의 기능으로 개발자들이 애플리케이션의 실행시간 검증(runtime verification)을 진행하도록 해줘 보안 문제를 해결하는 데 도움을 준다. 하지만 이 애플리케이션 베리파이어에는 문서 상 기록되지 않은 기능이 존재한다. 이 기능은 윈도우 XP에서부터 존재해왔던 것이다. 이 기능을 공격자들이 활용하면 정상 베리파이어를 가짜 베리파이어로 바꿔치기 하는 게 가능해진다.

“이 방법을 응용하면 백신 툴뿐만 아니라 어떤 애플리케이션이라도 하이재킹하는 게 가능해집니다. 저희가 발표한 증명용 코드를 바꿀 필요조차 없이 그대로 가져다 쓰면 됩니다. 아무 애플리케이션 이름으로 코드를 실행하면 자동으로 공격이 들어갑니다. 백신이든 다른 유형의 애플리케이션이든 말이죠. 아마추어 해커도 할 수 있을 정도로 쉽습니다.”

익스플로잇 대상이 정상 윈도우 툴이기 때문에 마이크로소프트 입장에서 패치로 해결할 수가 없다는 것도 문제다. “윈도우 전체 패치 같은 걸로 해결할 수가 없습니다. 애플리케이션 하나하나 조치를 취해야 이 문제를 막을 수 있습니다.” 즉 백신 업체들은 자신들의 제품과 MS의 베리파이어 툴이 어떤 식으로 작용하고, 베리파이어 툴에 대한 공격이 어떻게 자신들의 제품에 영향을 주는지 연구해야 한다는 거다.

하지만 일부 백신 업체는 ‘그다지 심각한 문제가 아니’라고 주장한다. “이 공격을 성공적으로 수행하려면 공격자는 윈도우 레지스트리에 뭔가를 작성할 수 있어야 합니다. 레지스트리 작성 권한은 보통 최상위의 관리자들에게만 보통 허용되는 것이죠.” 트렌드 마이크로의 더스틴 차일즈(Dustin Childs) 총괄의 설명이다. “그러니까 시스템 통제권을 다 가져간 사람이나 할 수 있는 공격이라는 겁니다. 이 더블에이전트 공격이 그나마 가질 수 있는 문제점이란 것은 공격의 ‘지속성’ 정도나 될까요. 그것도 최초 공격이 성공했을 때나 이야기이지만요.”

트렌드 마이크로의 글로벌 위협 총괄인 존 클레이(Jon Clay) 역시 이에 동조한다. 그럼에도 “트렌드 마이크로의 개인용 엔드포인트 솔루션도 더블에이전트 공격에 노출되어 있는 건 사실”이라고 인정하며 “패치를 이미 배포 중”이라고 덧붙였다.

ESET 역시 공식 발표를 통해 “자사 제품 일부가 더블에이전트 공격에 취약한 것을 인정”했으나 “공격의 실현 가능성이 매누 낮아 보이며 그 심각성 또한 대단치 않은 것으로 보인다”고 주장했다. 그 이유는 위 트렌드 마이크로가 밝힌 것처럼 “사실상 모든 권한을 가진 자들만이 할 수 있는 공격이기 때문”이다. 하지만 ESET 역시 목요일부터 해당 사안에 대한 픽스를 배포하고 있다.

시만텍 역시 입장을 밝혔는데 “공격자에게 높은 권한이 반드시 필요하며, 브로프만은 부정하고 있지만 시만텍 내부 조사 결과 물리적 접근이 반드시 필요한 것으로 나타났다”는 내용이다. 또한 시만텍의 노턴 시큐리티(Norton Security) 제품에는 이 공격이 통하지 않는다고 설명하기도 했다. 그 외에 두 개의 백신 제조사들도 해당 문제를 확인했으며 픽스를 배포하기 시작했다고 전달해왔다.

카스퍼스키 역시 패치를 진행해 더블에이전트 공격을 막아두었다고 발표했다. 하지만 위 몇몇 기업들처럼 “공격 가능성 자체는 매우 낮다”는 입장이다. “백신 제품만이 아니라 거의 모든 애플리케이션이 이 문제에 노출되어 있다는 것부터가 이미 ‘이 공격 전에 뭔가 필수 조건이 필요하다’는 걸 반증합니다. 이 경우는 가장 높은 권한이 그 전제 조건이었지요. 높은 권한을 가지고 있으면 거의 모든 공격이 가능해지는 것 아닌가요?”

백신 제조사 어베스트 역시 사이벨럼의 보고서를 참조하고, 버그바운티 프로그램까지 가동시켜 픽스를 완성시켰다. 하지만 사이벨럼의 보고서가 해당 사안의 심각성을 ‘과도하게’ 포장하고 있다는 데에 의견을 같이하기도 했다. 에프시큐어(F-Secure)는 “이미 2015년 알렉스 이오네스큐(Alex Ionescu)라는 전문가가 공개한 문제점”이라며 “그러므로 사이벨럼의 주장처럼 제로데이 공격인 것은 전혀 아니”라고 주장했다. 또한 “픽스를 현재 개발 중에 있다”고 밝혔다. MS 측은 아직 더블에이전트 공격에 대해 아무런 발표를 하고 있지 않은 상태다.
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>