• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

MS, 드라이버 서명 실수 이후 서명 절차 강화 진행 중 2021.06.29

넷필터라는 악성 드라이버를 MS가 잘못 서명해 중국 게임 커뮤니티에 멀웨어가 퍼졌다. 다행히 아직까지는 심각한 수준의 공격은 아닌 것으로 보인다고 한다. MS는 부랴부랴 서명 절차를 강화하기로 했다.

[보안뉴스 문가용 기자] 마이크로소프트가 드라이버 인증 과정과 정책을 개편하고 있다는 소식이다. 최근 실수로 악성 드라이버를 MS가 서명한 사건 때문이다. 이 드라이버는 중국에서 각종 게임 플랫폼을 타고 유포됐다.

[이미지 = utoimage]


MS는 금요일 자사 블로그를 통해 해당 사건을 조사하고 있다고 발표했으며, 누군가(이름을 밝히지 않았다) 문제의 드라이버를 MS에 제출했다고 한다. 이 제출자의 계정은 즉각 차단됐고, 현재 MS는 이 계정을 통해 제출된 다른 드라이버들도 검토하기 시작했다. 다행히 아직까지는 서명 인프라 자체가 침해된 것으로 보이지는 않는다고 한다. 하지만 악성 드라이버에 대한 서명이 어떻게 이뤄졌는지는 상세히 공개하지 않았다.

이 사건은 소프트웨어 공급망의 취약한 부분을 드러내는 사건으로 분류할 수 있다. 인증과 서명은 소프트웨어를 구성하는 각 요소들이 ‘신뢰할 만하다’라는 표시로 권한이 있는 조직에서만 제공할 수 있다. 그렇기에 이 서명을 가짜로 받아 내거나 위조할 수 있다면 소프트웨어 공급망에 형성된 신뢰를 악용할 수 있게 되고 보안 장치들을 피해갈 수 있게 된다. 지난 해 말에 발견돼 올해 초 큰 화제가 되었던 솔라윈즈(SolarWinds) 사태 역시 소프트웨어 공급망의 신뢰를 악용한 공격이었다.

보안 업체 케르베로스 센티넬(Cerberus Sentinel)의 부회장인 크리스 클레멘츠(Chris Clements)는 “마이크로소프트가 인증서에 서명을 하기 전에 악성 요인을 파악하는 과정에 결함이 있다는 것이 드러났다는 것 자체는 좋은 소식”이라고 말한다. “만약 서명 자격이 주어지는 인증서 자체가 침해된 것이라면, 공격자는 원하는 대로 아무 거나 MS인 것처럼 가장해 악성 요소들이 서명을 할 수 있습니다. 그 사태까지 간 게 아니라면 일단 안심할 수 있습니다.”

문제의 악성 드라이버인 넷필터(Netfilter)를 제일 처음 발견한 건 보안 업체 지데이터(G Data)의 보안 분석가인 카스텐 한(Karsten Hahn)이었다. 마이크로소프트가 서명한 드라이버였는데도 악성 탐지 솔루션에서 경보가 울렸기 때문이다. 분석을 진행했을 때 넷필터에서 루트킷이 발견됐다. 트래픽을 중국의 IP 주소들로 우회시키는 기능을 가지고 있었다. SSL 도청과 IP 우회가 주요 목적인 것으로 분석됐다.

마이크로소프트는 이 멀웨어를 제작한 자의 목적이 위치정보를 조작해 어디서나 게임을 즐기는 것이라고 말한다. “위치정보를 통해 게임 내에서 우위를 점하고, 다른 플레이어들의 계정을 조작함으로써 상황을 불리하게 만드는 등의 작업을 하게 해 주는 멀웨어죠.” 게임에서 더 좋은 결과를 내기 위한 것 외의 다른 목적은 아직 찾지 못한 것으로 보인다. MS는 이 멀웨어의 시그니처를 MS 디펜더 백신 제품들에 추가하고, 다른 백신 개발사들에도 전달했다.

보안 업체 이뮤니웹(ImmuniWeb)의 CEO인 일리야 콜로첸코(Ilia Kolochenko)는 “조직들이 제로트러스트를 적극 도입해야 하는 또 다른 이유”라고 이번 사건을 보고 있다. “모든 외부 요인들을 신뢰하지 않는 걸 기본으로 하는 게 제로트러스트죠. 즉 꼼꼼하게 점검하고 실험하고 모니터링한다는 겁니다. MS에서조차 서명 실수가 일어날 정도라면, 공격자들이 현재 소프트웨어 공급망을 얼마나 잘 이해하고 있으며 악용할 줄 아는지가 충분히 증명됐다고 봅니다.”

콜로첸코는 “도커 허브(Docker Hub)와 같은 공공 리포지터리에도 악성 컨테이너 이미지들이 업로드 되고, 이를 멋모르고 설치하다가 공격을 허용하는 사례가 늘어나고 있다”며 “이 역시 공공 리포지터리에 대한 신뢰를 악용하는 공격으로, 제로트러스트로 방어가 가능하다”고 강조했다.

3줄 요약
1. MS의 드라이버 서명 실수, 중국 게임 커뮤니티에 퍼져감.
2. 악성 드라이버 제작자의 목적은 게임 성적 높이는 것으로 보임.
3. 덕분에 MS의 서명 프로세스가 좀 더 강화될 예정.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>