윈도우 10에서는 디폴트로 ‘얹혀진’, 과도하게 발전된 기능
8월에 상세 공개 예정...아직 MS와 발표 수준 및 범위 논의 중

[보안뉴스 문가용 기자] 보안이나 편리함이냐. 이 두 가지는 어느 것도 놓칠 수 없는 가치이기에 새로운 기술의 발전은 ‘미세한 균형 잡기’에 초점을 맞추어야 한다. 그저 편리함만 좇았을 때 무슨 일이 일어날 수 있는지는 마이크로소프트의 코타나(Cortana)와 아마존의 알렉사(Alexa) 사고들이 증명해준다.


코타나를 예로 들어보자. 마이크로소프트의 음성 어시스턴트이며 윈도우 10부터 디폴트로 활성화되어 있는 기능이다. 윈도우 10이 설치되어 있다면 랩톱, 데스크톱, 스마트폰을 비롯해 각종 IoT 기기들까지도 사용자의 음성을 통한 기능 수행이 가능하게 한 것이다. 많은 기업들이 기본 운영 체제를 윈도우 10으로 바꿔감에 따라 코타나의 도입률도 올라가고 있다. 하지만 이것이 기업의 안전에 있어서는 그리 좋은 현상은 아니다.

보안 업체 임퍼바(Imperva)의 CTO인 아미카이 슐만(Amichai Shulman)은 지난 1년 동안 음성 인식 기반 어시스턴트와 관련된 기술, 인프라, 프로토콜을 연구해왔다. 보안 연구원인 탈 베어리(Tal Be┖ery)와 함께였다. 그 결과 “윈도우라는 운영 체제에 있어 코타나는 취약한 고리”라는 결론을 내렸다. 또한 이를 뒷받침하는 취약점들도 여러 개 발견할 수 있었다고 한다. 그리고 상세한 내용을 올해 8월 발표할 예정이라고 한다.

“가장 먼저 발견한 건 윈도우 10의 디폴트 설정 상 코타나가 모든 사람과 소통이 가능하다는 것이었습니다. 심지어 기기를 잠그고 아무나 사용하지 못하도록 해도 코타나와 이야기가 가능했습니다. 그래서 코타나를 이용해 잠금 설정을 우회하는 법을 제일 먼저 연구했습니다.”

그렇게 해서 처음 등장한 건 VoE라는 익스플로잇이었다. ‘에서의 목소리(Voice of Esau)’의 준말로, “공격자들이 음성 명령과 네트워크 조작을 적절하게 혼합함으로써 악성 페이로드를 표적이 된 기기에 전달하는 기법”이라고 소개한다. 물론 이 공격을 가능하게 하는 취약점은 제일 먼저 MS로 전달됐고, MS는 작년 8월 이를 패치했다.

하지만 슐만은 이것이 유일한 취약점일리는 없다고 생각했고, 그래서 연구를 계속 진행했다. 이스라엘의 MIT 대학에 해당하는 테크니온(Technion)의 학생들과 ‘음성 멀웨어’라는 개념을 연구하기도 했다. “로컬에서 사용하거나 인터넷에 기반을 둔 코타나 확장 프로그램들이 있습니다. 프로토콜과 API들도 있고요. 이들 전부 공격이 가능합니다.”

그렇게 해서 발견된 오류 중 하나가 오픈 세서미(Open Sesame)다. 이번 8월에 발표할 내용도 바로 이 오픈 세서미 취약점을 중심으로 할 예정이다. 이는 CVE-2018-8140 취약점으로 최근 MS가 배포한 6월 패치 튜즈데이를 통해 해결됐다.

“오픈 세서미 취약점은 VoE보다 훨씬 강력합니다. 잠긴 윈도우 10 장비를 공격자들이 장악할 수 있게 해주고, 임의의 코드까지 실행할 수 있게 해줍니다. 오픈 세서미 취약점을 익스플로잇 하면 아무라도 민감한 파일을 열람할 수 있으며, 인터넷 브라우징을 할 수 있고, 임의의 실행 파일을 다운로드 받아 실행시킬 수 있습니다. 심지어 특정 상황에서는 권한도 상승시킬 수 있습니다. 외부에서 코드를 따로 가져오지 않아도 공격을 성공시킬 수 있어 백신이나 IPS 툴들도 소용이 없어집니다.”

이러한 공격을 가능하게 하는 시나리오는 여러 가지가 있다. “물리적으로 근접한 공격이라면 호텔 방에 있는 컴퓨터나 공항 보안 시스템에 대한 공격을 생각해볼 수 있습니다. 컴퓨터를 잠근 채 누군가에게 잠깐 맡길 경우도 안전하다고 할 수 없습니다. 오픈 세서미만 이용하면 수초 만에 컴퓨터 침해가 이뤄지거든요.”

슐만은 “이러한 취약점이 생기는 이유는 크게 두 가지”라고 설명한다. “윈도우 10은 꽤나 안전하게 만들어진 플랫폼이자 컴퓨팅 환경입니다. 그런데 MS는 여기에다가 간편하고 쉬운 접근 인터페이스를 얹어놓고 광고를 하기 시작했죠. 이렇게 뭔가를 추가로 얹어놓을 때, 작은 오류들이 발생하는 건 자주 있는 일입니다.”

잠긴 시스템이라도 일부 명령을 실행할 수 있도록 설계하는 건 그리 나쁜 생각은 아니라고 그는 설명을 계속한다. “예를 들어 날씨를 알아보려고 잠금 장치를 다 해제할 필요는 없겠죠. 문제는 운영 체제를 가동시키지 않고 그런 기능들만 수행시키도록 하는 게 쉽지 않다는 겁니다. 그 부분에서 취약점이 발생하는 것이고요.”

슐만이 지적하는 두 번째 이유는 코타나가 음성 어시스턴트 이상의 기능을 가지고 있다는 것이다. “코타나는 음성 어시스턴트를 넘어서고 있습니다. 오히려 문제 해결을 위한 전문 엔진이라고 볼 수 있죠. 또한 글자 명령과 음성 명령을 모두 인지할 수 있습니다. ‘안녕, 코타나(Hey Cortana)’라는 음성을 통해 활성화시키기만 하면, 그 다음부터 공격자는 키보드로 코드를 실행시킬 수 있게 된다는 겁니다.”

8월에 보다 상세하게 발표하긴 하겠지만 코타나의 확산을 방어할 수 있는 방법이 몇 가지 있다고 슐만은 말한다. “먼저는 코타나 인터페이스가 디폴트로는 꺼져 있도록 설정해야 합니다. 자동으로 켜지도록 하는 건 위험한 일입니다. 특히 민감한 데이터가 오고 가는 업무 환경에서는 특히나 이 부분을 조심해야 합니다.”

한편 8월에 어떤 발표가 이뤄질지는 슐만도 아직 잘 모른다고 한다. 왜냐하면 MS 등과 협의하여 어느 선까지 대중들에게 공개할 수 있는지를 결정해야 하기 때문이다. 이야기는 아직 진행 중이고, 슐만은 “보다 많은 취약점들에 대한 기술적 정보와 방어 메커니즘을 공유할 수 있기를 바란다”고 말한다.
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>