문제의 근원은 윈도 커널의 UMPD...윈도 7부터 10까지 모두 영향 받아
MS는 패치 발표하며 “익스플로잇 가능성 낮다”고 주장...최근 반박되기도 해

[보안뉴스 문가용 기자] 중국의 보안 업체 싱귤라 시큐리티 랩(Singular Security Lab)의 보안 전문가들이 발견하고, 블랙햇 유럽(Black Hat Europe) 행사에서 발표한 취약점 두 개를 통해 ‘오래된 취약점이라고 해서 저절로 고쳐지지 않는다’는 당연한 사실이 또 다시 증명됐다. ‘아무리 익스플로잇이 어려워 보인다고 해도 누군가는 성공해낸다’는 것도 입증됐다.


문제의 취약점들은 2009년에 출시된 윈도 7에서부터 윈도 10의 최신 버전에서까지 고르게 발견되고 있으며, 권한 상승을 일으킨다. 공격자들은 이를 통해 시스템 완전 장악까지 이뤄낼 수 있게 된다. 싱귤라 측의 전문가 란초 한(Rancho Han)은 이 취약점이 “오래 전부터 있어왔지만 널리 알려지지 않은 윈도 커널 요소인 UMPD에서 발견됐다”고 설명한다.

UMPD는 크게 두 가지 요소로 구성되어 있다고 그는 설명한다.
1) 프린터 그래픽 DLL : 그래픽 장비 인터페이스가 프린터 스풀러에 보낼 인쇄 작업을 생성하고 전송하도록 해 준다.
2) 프린터 인터페이스 DLL : 인쇄 관련 이벤트가 발생했다거나 진행 중이라는 사실을 알리는 데 사용된다.

문제는 이런 UMPD와 특정 윈도 커널 기능들이 상호작용을 하기 시작할 때 발생한다. “사용자가 인쇄와 관련된 기능들을 발동시킬 때, UMPD가 그래픽 엔진을 가동시키고 ‘콜백(callbacks)’이라는 것을 커널로부터 받기 시작합니다. 그런데 이러한 상호작용이 일어나는 방식이 취약해 공격자들이 특정 코드를 주입할 수 있게 됩니다. 이 코드는 윈도 커널 층위에서 실행이 되고요.”

MS는 이미 수개월 전에 이 취약점을 패치한 바 있다. 당시 MS는 “이미 로그인이 된 공격자만이 익스플로잇 할 수 있는 권한 상승 취약점”이라고 묘사했었다. 또한 “익스플로잇에 성공한 공격자는 프로그램 설치, 데이터 열람/조작/삭제, 권한 높은 계정 생성 등의 악성 행위를 할 수 있다고” 경고했다.

하지만 MS는 애당초 이 취약점의 익스플로잇이라는 게 성공 가능성이 현저히 낮기 때문에 비현실적이라는 입장이었다. 게다가 취약점 자체의 기술적 내용만이 아니라, UMPD가 구축된 환경에 대해서도 꽤나 깊이 있는 이해도를 필요로 하기 때문에 공격자로서는 투자해야 할 것이 너무나 많다는 게 MS의 주장이었다. 하지만 이 어려운 공격에 성공하기만 한다면 기밀을 잃고, 시스템 무결성을 훼손시킬 수 있으며 데이터 가용성 역시 침해된다고 했다.

이번 블랙햇 행사에서 싱귤라 측이 발표한 내용은 MS의 이러한 주장을 정확히 반박한다. 사용자 모드의 콜백 매커니즘을 사용해 커널 층위의 공격을 성공시켰기 때문이다. 한 마디로 불가능하다고까지 표현할 정도로 익스플로잇이 어려운 취약점이 아니라는 것이다.

재미있는 건 MS가 윈도라는 플랫폼을 보다 안전하게 만들고자 노력하던 와중에 이러한 취약점들이 탄생했다는 것이다. 원래 윈도에서 프린터 드라이버 모드들은 윈도 커널에서 로딩됐었다. 그러나 윈도 비스타부터 MS는 프린트 드라이버가 사용자 모드에서 사용될 수 있도록 만들었다. 같은 취약점이 발견된다고 하더라도 사용자 모드에서 발견되는 편이 커널에서 발견되는 것보다 훨씬 안전하기 때문이다.

“하지만 이 과정에서 MS는 커널 콜백 도입 및 구현에 조금 소홀했던 것이고, 그 때문에 이러한 공격이 가능하게 된 것입니다. 안전 조치를 취하다 또 다른 공격 통로를 창조한, 아이러니한 상황입니다.”

3줄 요약
1. 오래된 윈도 커널 요소에 있던 취약점, MS는 “공격 가능성 낮다”고 주장.
2. 하지만 같은 취약점을 비교적 어렵지 않게 익스플로잇 하는 방법이 시연됨.
3. 오래된 취약점, 잘 알려진 취약점, 공격 가능성 낮다고 치부된 취약점은 고질적 보안 문제.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>