원격 익스플로잇 가능케 하는 취약점, 지난 10월에 발견되고 패치돼
하지만 패치 자체가 불완전...이번에 보완 가능케 해주는 패치 추가로 발표돼

[보안뉴스 문가용 기자] 보안 업체 트렌드 마이크로(Trend Micro)가 자사의 안티위협툴킷(Anti-Threat Toolkit, ATTK)을 업데이트 함으로써 취약점 익스플로잇의 가능성을 한층 더 약화시켰다. ATTK에서는 지난 2019년 10월 취약점이 발견되고 패치됐다.


트렌드 마이크로의 ATTK는 포렌식 스캔 및 루트킷 청소에 사용되는 도구로, 랜섬웨어, MBR 삭제 등 다양한 유형의 멀웨어를 탐지해 제거하는 기능을 담당한다. ATTK는 트렌드 마이크로의 다른 제품군에도 자주 포함되는 요소로, WCRY 패치 툴(WCRY Patch Tool)이나 오피스스캔 툴박스(OfficeScan Toolbox)에도 탑재되어 있다.

그런데 하이퍼링스(hyp3rlinx)라는 이름으로 활동하는 보안 전문가 존 페이지(John Page)가 작년 ATTK에서 취약점을 발견했다. 익스플로잇이 될 경우 원격의 공격자가 임의의 코드를 실행시킬 수 있게 해주는 취약점이었다. ATTK와 같은 폴더에 악성 파일을 심어둘 경우, 스캔이 시작될 때 취약점을 발동시킬 수 있게 된다고 페이지는 경고했었다.

이 취약점에는 CVE-2019-9491이라는 번호가 붙었다. 그리고 작년 10월 중순에 패치됐다. 당시 나온 ATTK 버전은 1.62.0.1223이었다.

그 이후 보안 전문가 스티븐 칸탁(Stefan Kanthak)도 이 취약점을 분석했는데, 10월의 패치가 불완전하다는 사실을 발견했다. 패치가 적용되었음에도 ATTK를 공격할 수 있는 기법을 세 가지나 발견해 제시했고, 세 가지 전부 임의 코드 실행으로 이어졌다. 칸탁은 이러한 사실을 10월 23일 트렌드 마이크로에 알렸고, 트렌드 마이크로는 지난 주 1.62.0.1228 버전을 내놓으며 제품을 개선시켰다.

불완전한 패치로 인해 생긴 취약점에는 CVE-2019-20358이라는 새로운 번호가 붙었다. 트렌드 마이크로는 관련 취약점에 대한 보안 권고 내용도 전부 업데이트 했다. 그러면서 “시스템에 대한 물리적 혹은 논리적 접근이 먼저 성립되어야만 공격이 가능해지지만, 그럼에도 패치를 서두르는 게 좋다”는 권고 사항도 발표했다.

칸탁은 그 외에도 트렌드 마이크로의 ATTK 제품 개발 방법과 관련된 문제들을 여러 개 발견했다고 주장했다. “트렌드 마이크로의 ATTK는 기본 바탕부터가 부실합니다. 먼저 개발자들이 사용한 플랫폼이 비주얼스튜디오 2008(VisualStudio 2008)로, 2년 전에 이미 지원이 종료된 제품입니다. 뿐만 아니라 연결된 LIBCMT도, cURL도, libeay32.dll도 전부 수년 전에 지원이 종료된 버전들이었습니다. cURL은 7.48, libeay32.dll은 1.0.1.17이더군요.”

칸탁은 “소프트웨어 엔지니어링 개발 문화 자체가 보안과는 거리가 멀고, 대단히 부적절하다”며 트렌드 마이크로를 강력하게 비판하기도 했다. “이런 상태에서 스스로를 보안 제품 개발사라고 칭하다니, 뻔뻔할 정도입니다.”

3줄 요약
1. 트렌드 마이크로, 자사 제품은 ATTK에 대한 취약점 패치 발표.
2. 이번에 발표된 패치는, 이전에 발표된 취약점에 대한 패치가 불완전한 것에 대한 보충분임.
3. 불완전한 패치를 발견한 보안 전문가는 “트렌드 마이크로는 보안 회사라 불릴 자격 없다”고 비판.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>