• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

요즘 해커들 사이에서 가장 인기 높은 건, MS 오피스 2019.02.14

어디서나 사용되고 있는 소프트웨어...게다가 많은 기능 가지고 있어
“공격 가능성 풍부”...다행히 아직 풍부함 살린 공격 존재치 않아

[보안뉴스 문가용 기자] 사실상 거의 모든 기업에서 사용되고 있는 소프트웨어인 마이크로소프트 오피스가, 최근 사이버 공격자들 사이에서 가장 인기가 높은 ‘연구 대상’이라고 한다. 이 때문에 보안 연구자들도 오피스에 대한 연구를 보다 심도 있게 진행하고 있다. 범죄자들보다 먼저 약한 부분들을 발견하기 위해서다.

[이미지 = iclickart]


보안 업체 아웃플랭크(Outflank)의 스탠 헥트(Stan Hegt)와 피터 실렌(Pieter Ceelen)도 그런 연구자들 중 일부다. 둘은 오피스의 기능을 다양한 방법으로 공격하면서 연구를 진행했는데, 2018년 더비콘(DerbyCon)이라는 행사에서 일부를 시연한 바 있다. 둘은 “대부분 오피스를 통해 원격에서 시스템을 침해하는 방법을 개발하고 있다”며 “원격 접근은 공격자들이 가장 좋아하는 방법이기 때문”이라고 설명했다.

처음에는 오피스 패키지 내에 삽입된 각종 기능들에서 오류를 찾고, 그 오류를 익스플로잇 하는 데에 연구가 집중됐다. 더비콘 이후에도 이 큰 방향은 변하지 않았다. “오피스는 방대한 프로그램으로 연구할 부분이 많습니다. 더비콘을 준비하며 여러 가지 공격 경로를 찾아냈다고 하지만, 사실 ‘더비콘 끝나고 더 파봐야겠다’고 적어놓은 게 더 많을 정도입니다.”

최근 헥트와 실렌은 “사양과 사뭇 다른 점을 두 개 이상 찾아냈다”고 한다. 이 때문에 두 개의 취약점이 파생했고, MS가 최근 패치했다. “하나는 마이크로소프트 워드의 오래된 기능 하나와 관련되어 있습니다. 이를 익스플로잇 하면 디스크 내 어떤 파일이라도 훔칠 수 있게 됩니다. 또 다른 취약점은 템플릿과 헤더를 같이 사용해 매크로 없는 피싱 문서를 만들 수 있게 해주는 겁니다.”

헥트는 “현재 오피스 제품군의 문제는 한 마디로 요약해 ‘기능이 너무 많고, 그중에는 지나치게 오래된 것들도 있다’는 것”이라고 말한다. 역사가 오래된 제품이다 보니 나이테처럼 켜켜이 쌓여온 것들이 일부 곪고 썩기 시작한다는 것. “결국 저희가 최근에만 발견한 취약점 두 개도 오래된 기능을 통해 파일 혹은 크리덴셜을 훔칠 수 있게 해주는 것이었죠.”

그런 연구 경험을 바탕으로 실제 해커들의 오피스 익스플로잇 행태를 보니 “빙산의 일각”이라는 말이 떠오를 수밖에 없었다. 오피스의 기능이 너무 많고, 악용 소지가 지나치게 커서, 익스플로잇 가능성이 풍부하다는 것이다. “다행히 아직까지 그런 가능성을 적극 활용하는 사례는 나타나지 않고 있습니다. 그렇다고 앞날을 장담할 수 있는 건 아니지만요.” 둘은 3월 26~29일 싱가포르에서 열리는 블랙햇 아시아(Black Hat Asia)를 통해 더비콘 이후의 성과를 발표할 예정이다.

한편 MS는 이번 달 패치 튜즈데이(Patch Tuesday)를 통해 마이크로소프트 워드에서 발견된 정보 유출 취약점인 CVE-2019-0561을 해결했다. 이 취약점 역시 헥트와 실렌의 연구를 통해 발견된 것이라고 한다. 워드의 매크로 버튼과 관련된 취약점으로, 익스플로잇에 성공하면 공격자가 임의의 파일을 읽어낼 수 있게 된다.

“CVE-2019-0561을 익스플로잇 하려면 공격자가 악성 파일을 만들고, 사용자가 열도록 유도해야 합니다. 물론 공격자가 사전에 자신이 원하는 파일이 해당 시스템에 있다는 정보도 확보해야 합니다.”

헥트와 셀린이 발견하고 MS가 이번에 패치한 취약점 중에는 CVE-2019-0540도 있다. 오피스의 보안 기능을 피해가게 해주는 취약점으로, 오피스가 특정 상황에서 URL을 제대로 검사하지 않아서 생기는 문제다. 이를 통해 공격자는 특수하게 조작된 파일을 사용자에게 전송하고 열도록 함으로써 크리덴셜을 훔칠 수 있게 된다.

셀린은 “요즘 많은 사용자들이 같은 사용자 이름과 비밀번호 조합을 사용하기 때문에 크리덴셜을 노리는 공격이 기승을 부리는 중”이라며 “이런 분위기에서 크리덴셜을 훔칠 수 있게 해주는 취약점은 급선무로 다뤄져야 한다”고 주장했다.

3줄 요약
1. 요즘 사이버 공격자들 사이에서 마이크로소프트 연구가 유행 중.
2. 따라서 연구자들 사이에서도 마이크로소프트가 뜨거운 주제.
3. 실제 마이크로소프트도 연구 결과 적극 수용해 패치 만들어 발표.
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>