• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

MS, 멀웨어 프로텍션 엔진 위한 긴급 패치 발표 2017.05.10

구글 프로젝트 제로 팀의 연구원이 발표...MS와 긴밀히 협조
어쩌면 윈도우 역사상 최악의 오류...개념 증명조차 조심히 다루어야

[보안뉴스 문가용 기자] MS가 긴급 패치를 발표했다. MS의 멀웨어 프로텍션 엔진(Malware Protection Engine)에서 발견된 취약점에 대한 것으로, 이를 제일 먼저 발견한 구글의 보안 전문가에 따르면 “윈도우 역사상 최악의 원격 코드 실행 취약점”이다.

ⓒ iclickart


먼저 지난 주말 이 취약점을 먼저 발견한 전문가들은 구글의 프로젝트 제로 팀에 소속된 타비스 오르만디(Tavis Ormandy)와 나탈리 실라노비치(Natalie Silanovich)다. 둘은 멀웨어 프로텍션 엔진에 간단한 악성 파일을 주입해 메모리 커럽션을 일으키면 원격에서 코드를 실행할 수 있게 해준다는 것을 발견했다. 실라노비치에 의하면 “매우 간단한 익스플로잇만 있으면 공격이 가능하고, 트위터 하나에 다 들어갈 정도로 코드도 짧다”고 한다. 영향력은 지대한데, 공격 난이도도 매우 낮다는 것이다.

“공격자들이 가지고 있는 옵션도 상당히 많아요. 예를 들어 웹사이트를 사용해 특별히 조작된 파일을 피해자의 시스템으로 배포할 수도 있고, 피싱 이메일이나 인스턴트 메신저 등을 활용해서 피해자를 꼬드기는 것도 가능하죠. 악성 파일을 열어보게 할 방법은 꽤나 많습니다. 그리고 여는 순간 감염은 시작됩니다. 사용자가 콘텐츠를 제공하는 방식의 웹사이트도 악용될 수 있습니다.”

오르만디와 실라노비치는 자신들의 개념 증명 코드를 발표하면서 “다운로드 받고 실행할 때 조심해야 할 것”이라고 경고하기도 했다. 멀웨어 프로텍션 엔진을 디폴트 상태로 설정해두면 개념 증명 코드를 실행하는 것만으로 엔진이 침해될 수 있다는 것이었다. “윈도우 8 버전 이상부터는 엔진의 디폴트 상태를 그대로 둔다는 건 거대한 구멍을 그대로 방치하는 것이나 다름이 없습니다.” 오르만디는 이 취약점을 개인적으로 대단히 나쁜 것으로 보고 있다.

“윈도우 전체 취약점들을 보더라도 이번에 발견된 취약점은 정말 치명적입니다. 가장 중대한 결함일지도 모릅니다. 일단 멀웨어 엔진이란 것 자체가 가지고 가는 권한이 매우 높기 때문입니다. 거의 모든 곳에 접근이 가능할 정도로 높은 권한을 가지고 있죠. 멀웨어 프로텍션 엔진의 핵심 요소는 mpengine이라고 불리는 스캐닝 및 분석 기능입니다. 수십 개의 핸들러, 실행 가능한 패킷, 크립터, 시스템 에뮬레이터 등으로 구성된 mpengine은 공격자의 입장에서 봤을 때는 매우 광범위하고 복잡한 공격 표면입니다.”

구글의 오르만디와 실라노비치는 이번 취약점을 공개하면서 MS와 긴밀한 협조 체계를 유지하기도 했다. 미리 공개한 것이 아니라 MS에 먼저 연락을 취해 패치 배포 조금 전에 해당 내용을 공개한 것이다. MS 또한 업데이트 내용이 ‘자동으로’ 반영되도록 했다. 일반적인 사용자라면 48시간 안에 모든 패치가 완료된다고 한다. 원한다면 수동으로 패치를 진행해 시간을 앞당기는 것도 가능하다.

하지만 MS는 “관리자급 사용자는 업데이트 관리 소프트웨어를 자동 설정으로 해두는 편이 낫다”고 권장하고 있다. “멀웨어 정의 데이터베이스 등은 수시로 업데이트 되어야 진짜 효력을 발휘할 수 있습니다. 다만 자동화로 설정해놓고 손을 아예 놓는 것이 아니라, 확실히 업데이트가 다운로드 되고 적용되는지를 점검하는 것이 중요합니다. 또한 업데이트로 인해 부작용이 발생하지는 않는지도 살펴야 하고요. 업데이트와 같은 기계적은 일은 자동화처리 하고, 그와 관련된 ‘인간적인’ 일들에 집중하라는 것이죠.”

보안 전문업체인 퀄리스(Qualys)의 CTSO인 대론 기바드(Darron Gibbard)는 “멀웨어로부터 시스템을 보호하기 위한 솔루션 자체도 공격받을 수 있다는 걸 기억해야 한다”고 이번 사건의 진정한 교훈을 되짚는다. “애플리케이션과 소프트웨어로 가득한 환경이라면 안심이라는 개념이 조금도 들어설 수 없는 게 맞는 겁니다. 보안 솔루션도 결국 소프트웨어입니다.”
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>