• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

윈도우 커널 오류, 일부 보안 솔루션 회피 가능케 한다 2017.09.07

PE 이미지 파일 로드될 때, 잘못된 이름값 돌려
다층의 보안 구조에서는 큰 문제 안 되어야 정상...MS도 패치 계획 없어

[보안뉴스 문가용 기자] 마이크로소프트 운영 체제에서 커널 오류가 발견됐다. 보다 정확한 위치는 윈도우 2000~윈도우 10까지에 있는 PsSetLoadImageNotifyRoutine이다. 윈도우 2000을 통해 처음 도입된 이 PsSetLoadImageNotifyRoutine는 로드되는 모듈을 감시하는 기능으로, PE 이미지 파일이 메모리로 로드될 때 커널에 등록된 드라이버들에 이를 알려준다.

[이미지 = iclickart]


엔드포인트 보안 전문 업체인 엔실로(enSilo)는 마이크로소프트의 커널을 연구하다가 API에서 이상한 점을 발견했다. 로드된 PE 이미지들에 대한 통보가 등록된 후 콜백 과정에서 틀린 이미지 이름들이 돌아온다는 것이었다. 처음에는 가끔 이런 일이 일어나나보다, 하고 생각했지만 조사를 진행하다보니 커널단에서부터 이런 오류가 시작된다는 걸 알게 되었다.

“이 버그는 OS에 어떤 파일이 로딩되는지 알 수 있도록 하게끔 마이크로소프트가 보안 업체들에게 제공하는 API에 존재합니다.” 엔실로의 CTO인 유디 야보(Udi Yavo)의 설명이다. “이 API가 기능을 제대로 발휘하지 않으면 보안 업체들은 어떤 파일이 로딩되었는지 파악할 수가 없게 됩니다. 그러면서 멀웨어를 탐지 못하게 될 수도 있는 것이지요.”

엔실로의 연구원인 옴리 미스가브(Omri Misgav)는 블로그를 통해 “이 취약점을 익스플로잇하면 공격자가 악성 페이로드나 모듈을 로드하고, 이를 정상적인 것으로 위장하기가 쉬워진다”고 설명했다. “경보는 하나도 울리지 않았는데 악성 코드가 시스템 내에 슬쩍 잠입하게 되는 것이죠. 호스트에 설치된 침입 탐지 솔루션의 눈을 쉽게 속이는 방법이 됩니다.”

정보보안 커뮤니티인 제로데이 이니셔티브(Zero-Day Initiative)의 통신 관리자 더스틴 차일즈(Dustin Childs)는 “2000년대부터 있어왔던 취약점이지만, 그렇다고 해서 대단히 놀라운 건 또 아니”라고 말한다. “윈도우는 이미 오래된 역사를 가지고 있는 OS이고, 이전 버전들에서 코드를 일부 그대로 가져오는 것도 흔한 일입니다.”

또한 이 취약점으로 인해 윈도우 OS를 곧장 해킹할 수 있는 것도 아니다. 다만 이번에 발견된 커널 취약점을 하나의 수단으로 삼아 특정 보안 솔루션을 피해갈 수 있다는 것이 문제다. 여기서 특정 보안 솔루션이라면 마이크로소프트의 API를 활용하는 것일 확률이 높다. 엔실로는 “이 문제를 마이크로소프트 측에 알렸다”고 한다. “하지만 MS는 아직까지 이 오류에 대한 패치를 하지 않을 계획이라고 합니다. 아직 공격자들이 이 취약점을 알고 있다거나 활용하고 있다는 조사 결과가 나오지 않았기 때문입니다.”

차일즈는 “아직도 연구는 진행 중에 있다”고 말한다. “그러므로 실제로 얼마나 이 취약점이 위험한지에 대한 평가는 아직 정확히 내릴 수가 없습니다. 연구가 완료될 때까지는 MS의 API를 사용하는 모든 백신 및 보안 제품이 잠재적으로 위험하다고 생각하고 특별히 조심해야 할 듯 합니다.”

하지만 어차피 MS가 패치하지 않을 것이라면, 분석이 완료되거나 아니거나 위험한 건 마찬가지 아닐까? 차일즈는 이에 대해 “요즘 솔루션 하나 가지고 방어 체계를 마련하는 건 의미가 없다”며 “다층적 보안의 전체적인 안전도를 다시 한 번 따져봐야 한다”고 설명한다. “MS API 의존도가 높은 솔루션을 사용하고 있었나요? 그렇다면 그것을 제외한 보안 전략을 세워야 하겠죠. 언제까지 패치에 의존한 수동적 방어 자세를 유지할 건가요.”

그러면서 차일즈는 “네트워크 분리, 모니터링, 백신, 패치 주기 관리 등이 전부 어우러지는 게 이상적인 보안”이라며 “오류 하나 발견됐다고 갈팡질팡하는 보안 체제만을 갖추고 있었다는 게 더 이상한 것”이라고 못 박는다. 그러면서 “요즘 그런 조직은 없을 것”이라고도 말했다.

엔실로의 야보는 “연구를 계속 진행하고 있으니 조만간 더 풍부한 보고서를 발표할 것”이라고 약속했다.
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>