• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

백신 업체 네 군데, 10년 만에 겨우 취약점 해결해 2020.01.07

이셋과 카스퍼스키는 그나마 빠른 대응 통해 문제 해결
아비라와 비트디펜더는 보고 무시하거나 이해하기 힘든 행보 보이기도

[보안뉴스 문가용 기자] 백신 프로그램 제조사 네 군데가 10년 전에 발견된 취약점에 대한 패치를 이제야 발표했다. 보안 전문가 티에리 졸러(Thierry Zoller)가 2009년 세상에 알린 이 취약점은 “공격자가 특수하게 압축한 아카이브를 백신이 스캔할 수 없다”는 것이다.

[이미지 = iclickart]


졸러에 의하면 이 문제는 특정 아카이브 포맷에 국한된 것이 아니라고 한다. “사용자들이 압축 아카이브를 특정한 방식으로 변경하게 될 경우, 사용자는 볼 수 있는데 일부 백신 소프트웨어에서 아카이브를 검사할 수 없게 됩니다. ISO, ZIP, Bz2 등 다양한 압축 포맷이 해당됩니다.”

사용자가 파일을 추출한 후 열람할 수 있기 때문에 클라이언트에서는 이게 그리 큰 문제가 되지 않는다. 그러나 이메일 게이트웨이나 백신 인프라에는 커다란 영향을 미칠 수 있다. “이메일이나 백신은 자기들 스스로 아카이브를 풀고 검사한 후 다시 압축할 수 없거든요. 따라서 치명적으로 작용할 수 있게 됩니다.”

졸러의 보고 이후 10년이 지났고, 졸러는 이 문제를 다시 한 번 점검해보기로 마음먹었다. 하지만 결과는 그리 좋지 않았다. “대부분 백신 업체들이 이 문제를 전혀 다루지 않고 있었고, 이번에 다시 한 번 연락을 했을 때도 긍정적인 반응을 보이지 않았습니다.” 하지만 지난 해 11월 일부 공격 캠페인에서 이 문제가 공격자들 손에서 악용되면서 졸러의 버그는 관심을 받기 시작했다.

졸러가 확인한 바, 이 오래된 버그를 여전히 가지고 있는 제품은 다음 제조사의 것이었다.
1) 아비라(Avira)
2) 비트디펜더(Bitdefender)
3) 이셋(ESET)
4) 카스퍼스키(Kaspersky)

이셋의 제품 중 이 버그의 영향을 받고 있는 것은 다음과 같다.
1) 스마트 시큐리티 프리미엄(Smart Security Premium)
2) 인터넷 시큐리티(Internet Security)
3) NOD32 안티바이러스(NOD32 Antivirus)
4) 맥용 사이버 시큐리티 프로(Cyber Security Pro),
5) 맥용 사이버 시큐리티(Cyber Security),
6) 안드로이드용 모바일 시큐리티(Mobile Security for Android)
7) 스마트 TV 시큐리티(Smart TV Security)
8) 리눅스용 NOD32 안티바이러스 4(NOD32 Antivirus 4)
이셋은 아카이브 언패커 모듈의 버전을 1294로 업그레이드 하면서 이 문제를 패치했다.

카스퍼스키의 제품 중 이 버그가 발견된 것은 다음과 같다.
1) 카스퍼스키 시큐어 커넥션 4.0(Kaspersky Secure Connection)
2) 인터넷 시큐리티 2020(Internet Security 2020)
3) 토탈 시큐리티 2020(Total Security 2020)
4) 시큐리티 클라우드 2020(Security Cloud 2020)
카스퍼스키는 패치 E를 발표하며 졸러의 버그를 해결했다.

이 두 업체는 졸러의 두 번째 보고에 대해 빠르게 반응해 패치를 발표했지만, 아비라와 비트디펜더 측은 별다른 반응을 하고 있지 않다. 졸라에 따르면 “아비라는 처음부터 보고서를 무시했다”고 한다. 하지만 한 달 동안 꾸준히 연락을 하고, 아비라의 CTO와 통화가 되고나서 아비라는 ‘잠수함 패치’를 진행했다.

비트디펜더는 졸러의 보고를 무시하지는 않았다. 심지어 이와 관련해서 세 개의 CVE를 등록하고 패치까지도 발표했다. 하지만 내부적으로 상황에 대한 재검토를 진행한 뒤 CVE들을 전부 취소시켰다. 패치는 12월이 되어서야 아비라처럼 조용히 진행했고, 버그 발견자로서 졸러의 이름을 올린 건 최근의 일이었다.

졸러는 “버그를 발견해서 신고하고, 그 위험성을 납득시키고 문제가 해결되는 것을 목도할 수 있을 때까지 걸리는 시간이 너무나 오래 걸린다”고 불만을 토로했다. 또한 “버그바운티 제도와 플랫폼이 취약점을 발견하고 보고하는 과정을 오히려 제한하고 침묵시킬 수 있다는 것도 알게 됐다”고 말했다. 하지만 이에 대한 상세한 내용은 더 공개하지 않았다.

3줄 요약
1. 10년 전, 한 보안 전문가가 백신 제품에서 취약점 발견함.
2. 10년 뒤 다시 한 번 문제를 점검했더니, 그대로 남아있었음.
3. 네 개 백신 업체, 제각각의 반응 보이며 패치 발표함.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>