- 취약점 노리는 악성코드엔 보안 패치가 근본적 해결..백신 등 다중 보안 필요

안철수연구소(대표 김홍선 www.ahnlab.com)는 최근 운영체제(OS)나 응용 프로그램의 보안 취약점을 노린 악성코드가 증가하고 있어 보안 제품 사용은 물론 최신 보안 패치를 철저히 해야 한다고 당부했다.

보안 패치를 적용하지 않은 상태에서는 백신 등의 보안 제품을 최신 엔진으로 사용하더라도 악성코드 변종 등에 의하여 재감염될 수 있다. 따라서 근본적인 예방을 위해서는 해당 취약점에 대한 패치를 적용하는 것이 필수적이다. 그러나 많은 사용자가 보안 패치 적용의 중요성을 간과하여 피해가 적지 않은 실정이다.

안철수연구소 시큐리티대응센터(ASEC)의 보고서에 따르면, MS사의 운영체제를 비롯해 인터넷 익스플로러나 오피스 등의 취약점을 이용하거나 어도비사의 PDF 리더(Reader)와 같이 대중적인 소프트웨어의 취약점을 노린 악성코드가 잇달아 제작되고 있는 상황이다.

우선, 12월 10일경에 발견돼 ‘제로 데이 공격’의 대상이 된 MS08-078 취약점은 12월 18일에 패치가 제공되기 전까지 일주일 이상 무방비 상태로 공격에 노출되어 세계적인 이슈가 되었다. 공식 보안 패치가 나오지 않은 상태에서 이 취약점을 이용한 악성코드가 유포된데다 인터넷 익스플로러 5.01 버전부터 8 .0 베타2까지 광범위하게 해당돼 위험성이 컸다.

또한 MS08-067 취약점은 지난 10월 말에 긴급 패치가 나온 후 이를 이용한 악성코드가 11월까지 기미브(Win-Trojan/Gimmiv)와 콘피커(Win32/Conficker.worm) 등 20여 개 발견되었다. MS08-067 취약점은 악성코드가 원격으로 취약한 컴퓨터를 찾는 데 이용된다. 이 취약점을 노린 악성코드에 감염되면 웹브라우저 속도가 느려지거나, 웹사이트 접속이 안 되기도 하며 컴퓨터가 다운되기도 한다. 안철수연구소 시큐리티대응센터의 분석에 따르면 이들 악성코드의 영향으로 11월 한 달 간 악의적인 네트워크 트래픽이 급격히 증가했다.

MS08-078, MS08-067 취약점은 정보가 해외 웹사이트 등에 공개돼 악성코드를 손쉽게 제작할 수 있는 환경이 마련되고 있어 심각성이 더하다. 실제로 이 취약점을 이용해 악성코드를 자동 제작할 수 있는 툴이 유포되고 있다. 이렇게 제작된 악성코드는 스팸 메일, 다운로더 등 다양한 방법으로 전파될 것으로 예상된다.  

한편, 어도비사의 PDF 리더(Reader) 취약점의 경우 올해만 14개가 공개됐으며, 이 중 11월에 새로 공개된 CVE-2008-2992 취약점은 취약점 공개와 동시에 공격 코드가 공개돼 위험성이 높은 상태이다. PDF 리더 8.1.2 버전 이하에 해당되는 이 취약점이 있는 경우 악의적으로 조작된 PDF 파일을 열면 악성코드가 실행될 수 있으며, 타인이 사용자 권한을 획득해 정보를 유출할 수도 있다. 어도비사 소프트웨어는 전세계적으로 PDF(Portable Document Format) 포맷이 표준이 되다시피해 사용자 층이 매우 두텁다. 따라서 그 취약점을 노리는 악성코드가 제작됐을 때 피해가 매우 광범위하기 때문에 각별한 주의가 필요하다.

이처럼 보안 취약점을 노리는 악성코드의 피해를 예방하는 근본적인 방법은 최신 보안 패치를 설치하는 것이다. 그러나 개인 사용자들은 보안 패치의 중요성이나 방법을 모르는 경우가 많아 무방비로 노출되어 피해를 입는다. 무료 백신 ‘V3 Lite’에는 보안 패치가 필요한 목록을 보여주고 패치 파일을 다운로드할 수 있게 연결해주는 기능을 제공한다. 보안 패치와 함께 백신, PC 방화벽 등의 보안 제품을 사용하고 강력한 패스워드 설정, 공유 폴더 사용하지 않기 등의 수칙을 지킨다면 안전한 PC 환경을 유지할 수 있다.

안철수연구소 시큐리티대응센터 조시행 상무는 “새로운 취약점이 발표되고 이를 공격하는 악성코드가 제작되는 시간이 점점 짧아지는 추세이다. 최근의 경우처럼 공식 보안 패치가 배포되기 전에 보안 취약점을 악용하는 ‘제로 데이 공격’도 적지 않다. 따라서 사용자는 보안 수칙을 숙지하고, 항상 최신 보안 패치를 적용하는 한편 백신, PC 방화벽 등 보안 제품의 최신 버전 유지 및 실시간 감시 기능 사용 등 보안 사고 예방을 생활화해야 한다.”라고 강조했다.

11월 중순, 웹브라우저의 시작페이지가 “www.3929.cn”으로 고정된다는 신고가 다수의 고객으로부터 다량 접수되었다. 시작페이지 고정의 원인은 BHO(Browser Helper Object)로 설치된 중국산 애드웨어로 인한 것이었다.

 

국산 보안 제품을 제거하는 국산 애드웨어 - Win-Adware/NeSearch

바이러스나 웜, 트로이목마 등의 악성코드가 보안제품의 실행을 중지시키거나 삭제하는 경우는 많이 발견되고 있다. 이러한 악성코드의 대부분은 외국에서 제작된 것들이고, 보안제품의 실행을 중지시킨 뒤 시스템에 큰 문제를 일으키거나 게임의 계정정보를 탈취한다. 그런데 최근 국내에서 제작된 리워드 프로그램이 이와 같이 동작하는 것이 발견되었다. 진단명이 Win-Adware/NeSearch인 애드웨어는 다른 애드웨어의 번들 형태로 사용자의 적절한 동의 절차 없이 설치되어, Internet Explorer의 주소표시줄에 입력되는 키워드를 감시하고, 키워드와 관련한 광고를 노출하며, 쇼핑몰 등에 접속시 제휴마케팅 코드를 삽입하여 구매 수익의 일부를 얻는 리워드 프로그램이다.

Win-Adware/NeSearch는 국내 보안제품이 자신을 사용자의 시스템에서 제거하는 것을 막기 위하여 사용자 동의 없이 ㈜안철수연구소의 V3를 비롯한 국내 주요 백신들의 프로세스를 중지시키고 제거하려는 시도를 한다. 물론 V3의 경우 자체 보호 기능이 탑재되어 있기 때문에 해당 애드웨어의 의도와는 달리 중지되거나 제거되지 않는다. 그러나 일부 자체 보호 기능이 미비한 보안 제품의 경우, 이 애드웨어의 의도대로 사용자의 PC에서 보안제품이 중지 혹은 제거되며, 이렇게 될 경우 사용자의 PC가 악성코드로부터의 보안위협에 그대로 노출되기 때문에 매우 심각한 문제를 야기할 수 있다.

지속적으로 Win-Adware/NeSearch에 대하여 모니터링한 결과, 더 이상 배포되지 않고 있는 것으로 추정되며 V3나 스파이제로를 통해 전부 진단 치료가 가능하다. 그러나 앞으로 이와 같은 악성 프로그램이 계속해서 나올 것으로 예상되며 보안업체뿐만 아니라 사용자의 각별한 주의가 요구된다.

적절하지 못한 사용자 동의로 설치된 프로그램으로 인한 피해 증가

PC에 특정 프로그램이 설치되어 불편을 야기하게 될 경우, 해결법을 찾기 위해 인터넷 검색을 해보면 동일한 피해로 인한 사용자의 불만 글을 쉽게 찾아볼 수 있다. 최근에는 리워드 프로그램의 설치로 인한 피해와 이에 대한 해결 방안들이 많이 보고된다.

리워드 프로그램은 사용자가 제휴 쇼핑몰에서 물건을 구매하는 경우 추가 적립금을 지급해 주는 하나의 비즈니스 모델로서 사용자에게 많은 이득을 줄 것 같지만, 엄밀하게 따져보면 사용자에게 주는 혜택은 전혀 없이 해당 프로그램 배포자만이 이득을 보는 경우가 대부분이다.

대부분의 리워드 프로그램이 설치되어 불편을 겪고 있는 PC 사용자들이 자신이 모르는 사이 프로그램이 설치되었다고 주장한다. 반면 리워드 프로그램 제작사는 합법적으로 자신의 프로그램을 배포한다고 말하고 있다. 이 이유는 리워드 프로그램이 불법이라고 단정할 수 없는 방법으로 사용자가 쉽게 인지하지 못하는 방법으로 배포되고 있기 때문이다. 리워드 프로그램과 문제점이 발생하는 원인에 대해서는 ‘ASEC Report 11월 첫번째 컬럼’에서 자세히 소개한다.

[출처] 안철수연구소 ASEC리포트
 

얼마 전 해외의 한 연구자가 자신의 블로그에 ‘클릭재킹’ 공격이 어떻게 이루어지는지를 동영상으로 시연을 했었다. 간단한 자바 스크립트 게임 페이지에서 게임 이용자는 화면에 나오는 버튼을 몇 번 클릭하다 보면, 본인도 모르는 사이에 자신의 컴퓨터에 연결된 웹캠으로 동영상 촬영이 되고 마이크로폰으로 녹음이 되어 버리는 상황이 벌어졌다. 이것은 어도비(Adobe)사의 플래시 플레이어 설정 매니저를 대상으로 공격을 해서 가능했던 것이었다.


<그림 : 클릭재킹을 통해서 웹캠을 조정하는 것을 시연하는 동영상 화면>
미국 국토안보부 산하 컴퓨터 긴급 대응팀(US-CERT)에서 보고한 바에 의하면 이 취약성은 인터넷익스플로러(IE), 파이어폭스, 사파리, 오페라 등의 주요 웹 브라우저에 영향을 끼치고 있다고 한다. 그에 따라 얼마 전 어도비사는 클릭재킹 취약점을 해결한 플래시 플레이어를 발표했었다.

클릭재킹(Clickjacking)이란
마우스 클릭(Click)과 항공기 불법탈취 또는 납치를 의미하는 하이재킹(hijacking)의 합성어로, 사용자는 어떤 웹 페이지를 클릭하지만 실제로는 다른 어떤 페이지의 컨텐츠를 클릭하게 되는 것이다. 대표적인 방법으로는 정상적인 버튼 밑에 해킹 기능을 넣은 보이지 않는 버튼을 배치하는 것이다.

이 취약성은 사용자가 어떤 사이트를 클릭했을 때, 그 클릭을 가로채서 엉뚱한 사이트(피싱 사이트나 악성코드 배포 사이트 등)에 접속하도록 만들어 놓으면 꼼짝없이 당하게 된다.

피해 사례, 피해 가능성은

아직 해커들에게 많이 사용되고 있지는 않아서 피해사례는 많이 알려지지 않았다.

SecTheory사의 CEO 로버트 한센의 설명으로는, 클릭재킹 공격자는 피해자의 PC에 몰래 연결해 온라인 주식거래를 하거나, 블로그 게시물을 지우고, 라우터나 방화벽 설정을 변경하고 새로운 웹 메일 계정을 만들고 소프트웨어를 다운로드 하도록 할 수 있다고 한다.

또한 위에서 동영상으로 시연을 했었던 연구자는 이 취약성으로 웹 브라우저를 ‘감시 좀비’로 만들어버릴 수 있다고 얘기를 한다.

예방하는 방법은

현재까지 클릭재킹 취약성을 해결한 웹 브라우저가 배포되지 않고 있는 상태이다. 그러므로, 당분간 최선의 방어책은 웹 브라우저 설정에서 스크립트 기능과 플러그인(또는 Activex) 기능을 무효화 시키고, 아이프레임을 기본적으로 비활성화 시키면 어느 정도 방어 효과는 있다고 알려져 있다.

문제는 최근 대부분의 국내 사이트들이 모두 스크립트, 아이프레임, Activex 기능 등을 활용해서 서비스하는 것이 현실이므로, 이렇게 되면 인터넷 사이트를 이용하지 말라는 얘기가 된다. 그래서 필자는 이것이 현실적인 대비책은 아니라고 보고 있다.

통합 보안 프로그램을 설치 해두고, 평소에 실시간 감시와 개인 방화벽 등 기능을 항상 켜 두어서 컴퓨터 관리를 잘 해야 할 것이다. 또한 웹 브라우저 개발사들이 해당 취약점을 해결한 업데이트를 내놓기를 기다려야 할 것으로 보인다.@

구글이 크롬(Chrome) 브라우저를 발표한 가운데, 마이크로소프트사도 Internet Explorer 8 베타버전을 공개함으로써 차세대 브라우저간 치열한 다툼이 시작되었다. 이번 달 ASEC 리포트 컬럼에서는 새로운 브라우저들 속에 내장된 보안 기능을 집중적으로 소개하고자 한다.

마이크로 소프트가 IE 8을 설계할 때 중점을 둔 공격방법은 사회공학(Social Engineering), 웹서버 취약점을 이용한 공격, 그리고 브라우저 취약점을 이용한 공격이다 . 여기서 사회공학은 주로 피싱(Phising)처럼 사용자를 속여 개인정보를 탈취하는 공격 방법이고, 웹서버 취약점은 크로스 사이트 스크립트(Cross Site Scripting)와 같이 웹서버의 취약점을 이용하여 개인정보를 유출하는 방법이며, 브라우저 취약점을 이용한 공격방법은 취약점을 이용하여 악성 코드를 사용자의 시스템에 설치하는 공격방법을 의미한다. 구글 역시 마이크로소프트사와 같은 부분에 초점을 맞추고 있으나 구글의 크롬은 악성코드 설치, 키로거 파일읽기 등 주로 브라우저 취약점을 이용한 공격방법에 좀더 초점을 맞추고 있다 . 파이어 폭스는 웹서버 취약점을 이용한 공격 방어에 초점을 맞추고 있다.

브라우저 취약점 보호

공격자가 브라우저의 취약점을 이용하여 악성코드를 실행하기 위해서는 실행될 악성코드가 브라우저의 메모리 상에 적재되어야 한다. 이것은 브라우저의 메모리를 변조하는 방법으로 가능하며 실제로 자바스크립트와 같은 스크립트 코드로 브라우저의 메모리를 쉽게 조작할 수 있는 방법이 공개되어 있다. 일단 브라우저의 메모리에 적재된 악성코드가 실행되면 공격자는 사용자의 권한을 획득하는 것이 가능하다.

Internet Explorer 8 에서는 DEP (Data Execution Prevention) 또는 NX(No Execution) 라고 불리는 기능으로 브라우저의 메모리 변조 공격을 막아준다. 이 기능은 임의의 코드가 메모리의 특정 영역에서 실행되는 것을 방지하는 기술로, Windows Server 2008이나 Vista 이후의 버전에서는 자동으로 설정이 되어 있다. IE8 이전의 브라우저들은 호환성 문제로 이 기능을 지원하지 않았으나, IE8 에서는 이러한 문제를 해결하고 해당 기능을 지원하게 되었다. 비스타(Vista)의 태스크 관리자나 Process Explorer를 사용하면 DEP 기능이 적용되었는지 확인 할 수 있다.



크롬(Chrome)은 샌드박스 모델을 구현하여 문제가 발생하면 쉽게 처음 상태로 초기화하여 메모리 변조 공격을 막는다. 이를 위해 크롬은 다음 [그림 2]와 같이 Rendering Engine과 Browser Kernel을 분리하여 설계하였다.



위의 Browser Kernel과 Rendering Engine의 역할은 다음 [표 1]과 같다.




피싱 방지 기능

Internet Explorer 8 에는 피싱을 막기 위해 스마트 필터라는 기능을 구현하였다. 이 필터는 IE7의 피싱필터의 기능을 발전시킨 것으로 성능과 휴리스틱 알고리즘에서 발전이 있다고 알려졌다. 피싱사이트로 알려진 사이트에 사용자가 접속하거나 의심스러운 사이트에 접속하면 IE8은 각각 [그림 3], [그림 4]와 같은 에러 메시지를 출력한다. 특히, [그림 4]에서 IE8은 사용자에게 사이트의 신뢰여부를 묻게 되는데, 수집된 정보는 마이크로소프트사로 전송된다.





파이어폭스 3은 Site Identification Button을 제공하여 [그림 5]와 같이 피싱 공격으로부터 사용자를 보호한다. 이 버튼을 사용자가 클릭하면 [그림 6]과 같이 사이트가 제공하는 신원정보를 확인할 수 있다.





크롬(Chrome)은 [그림 7]과 같이 피싱 사이트에 대한 블랙 리스트의 정보를 사용하여 피싱 페이지를 구별하며, IE8과 마찬가지로 휴리스틱 알고리즘을 사용하여 의심스러운 URL을 구별할 수도 있다. [그림 7]에서 사용자는 "a.co.kr"란 URL을 사용했지만, 실제 접속은 a.com으로 접속했기 때문에 크롬 부라우저가 의심 URL로 확인한 결과이다. 이 결과는 구글로 전송하여 블랙리스트를 관리하는데 사용된다.



주소창 하일라이팅기능

이 기능은 브라우저가 URL 중의 도메인 이름을 분석하여 그 결과를 사용자에게 보여주고 피싱이나 기타 도메인 이름을 사용한 공격을 막기 위한 기술이다. 이 기술은 IE8 Beta에서 처음 구현된 기술로, 크롬에서도 기본적으로 해당 기능을 지원한다. 파이어폭스는 LocationBar라는 플러그인을 설치해야만 가능하다.

주소를 하일라이팅하는 기능은 기본적으로 세 브라우저 모두 가능하나, 구체적인 방법 면에 있어서는 약간의 차이를 나타낸다. 다음은 차례로 IE8과 FireFox3, 크롬에서 주소창이 하일라이팅된 모습을 보여준다.



크로스 사이트(XSS) 공격 방어 기능

크로스 사이트 공격은 웹서버 취약점을 이용한 공격 방법 중 그 빈도가 가장 높은 공격으로, 모든 브라우저에서 해당 공격을 막기 위한 기술이 구현되어있다.

Internet Explorer 8에서는 XSS Filter를 구현하여 크로스 사이트 공격을 방어한다. IE8은 모든 브라우저를 통한 모든 응답과 요청을 관찰한다. 만약, XSS 필터가 XSS로 보이는 요청이 관찰될 경우, 공격으로 판단하고 [그림 9]와 같이 사용자에게 경고 메시지를 내보낸다.



파이어폭스 3 는 W3C가 제안한 XHR(XMLHTTPRequest) 기술을 이용하여 쿠키나 HTTP Header 데이터와 같은 개인정보가 다른 사이트로 전송되는 것을 차단하는 방식으로 크로스 사이트 공격을 차단한다. 이 기술은 IE8의 XSS filter와 비슷한 역할을 수행한다.

크롬(Chrome)은 앞서 밝혀듯이 크롬 아키텍쳐의 주요 초점이 브라우저 기반 취약점 공격에 맞추어져 있다. XSS 공격을 방어하기 위한 특별한 설명은 아키텍쳐 소개서에 명시되어 있지 않지만 구글과 파이어폭스의 관계를 보았을 때 아마 파이어폭스 3와 비슷한 구조를 가지고 있을 것으로 추정된다.

악성 코드 보안 기능

최근의 해킹동향은 공격자가 웹서버를 해킹한 후, 악성 코드 배포를 위한 페이지를 웹서버에 삽입하는 것이다. 만약, 보안 취약점의 패치를 하지 않은 사용자가 해당 웹서버에 접속할 경우, 공격자가 삽입한 코드가 실행되어 사용자의 시스템 권한을 획득할 수 있다. 따라서, 각 브라우저는 이러한 코드가 사용자의 시스템에서 실행되는 것을 막기 위해 의심 코드가 삽입된 웹페이지의 접근을 차단하고 있다. [그림 11]~[그림 13]는 다음 [그림 10]과 같은 코드를 포함한 웹페이지를 각 브라우저에 요청한 결과이다.



Internet Explorer 8 은 크로스사이트 공격과 마찬가지로 스마트 필터를 이용하여 사용자가 악성코드를 삽입한 페이지에 접근하는 것을 [그림 3]과 같이 차단할 것이라고 하지만, 필자가 테스트한 [그림 10]의 코드가 삽입되어 있는 페이지를 테스트한 결과 [그림 11]과 같이 IE8에서 해당 페이지를 차단하지 못한 채 그대로 브라우저 상에 로드되었다.



파이어폭스 3 에서는 해당 페이지를 [그림 12]와 같이 차단하였으며 해당 페이지를 차단한 이유와 현재 상태를 [그림 13]과 같이 사용자가 직접 확인할 수 있다. 특이할 만한 사항은 해당 페이지의 데이터베이스를 구글이 제공했다는 것이다. 따라서 크롬 역시 같은 데이터를 사용할 것이라고 추측할 수 있다.





크롬(Chrome)도 [그림 14]와 같이 차단 화면을 볼 수 있다.



정리

지금까지 차세대 브라우저가 제공하는 보안 기술을 간단하게 살펴보았다. 브라우저 보안은 크게 1)사회공학, 2)웹서버, 3)브라우저 취약점에 대한 보호로 분류될 수 있다. 세 브라우저 모두 방어하고자 하는 공격 방법은 대부분 같았지만 설계의 지향점은 조금씩 차이를 보였다. 따라서, 사용자는 브라우저를 선택하기 전 위협 요인을 정확히 인지하고 그에 맞는 브라우저를 선택해야 할 것이다.