침해사고/위협동향

MS, 윈도8 보안 취약점 안고치나, 못고치나

이민형 기자

 

[디지털데일리 이민형기자] 마이크로소프트(MS)의 차세대 운영체제(OS) 윈도8에 취약점이 공개됐다. 이번에 공개된 취약점은 지난 2010년에 최초로 등장한 것으로 MS의 소극적인 대응이 문제를 키우고 있다고 해커들은 주장했다.
 
8일 서울 양재동 교육문화회관에서 열린 ‘POC 2012 – 해킹&보안 컨퍼런스’에서 쩡 웬빈(Zhenwenbin) 360세이프 기술매니저<사진>는 “윈도 비스타에서부터 사용된 DSE(Driver Signature Enforcement) 보안 기능을 우회할 수 있는 방법이 윈도7, 윈도8에서도 그대로 적용될 수 있는 것을 확인했다”며 “악의적인 목적을 가진 해커가 장치 드라이버에 악성코드 등을 삽입할 경우 사용자의 피해가 예상된다”고 설명했다.

DSE는 윈도 시스템의 보안성을 향상시키기 위해 윈도 비스타(64비트)부터 도입된 기능이다. 드라이버를 새롭게 설치하기 위해서는 ‘KMCS(Kernel Mode Code Signing)’을 필요로 한다. KMCS를 획득하지 못한 드라이버는 보안에 문제가 있는 드라이버로 인식, 윈도에 설치할 수 없다.

KMCS를 획득하기 위해서는 베리사인(VeriSign)과 같은 서명기관으로부터 사용료를 지급하고 시그니처를 받아야한다. 개인은 시그니처를 받을 수 없다.

그러나 DSE를 우회할 경우 시그니처가 없어도 드라이버를 제작, 배포할 수 있게 된다. 드라이버에 악성코드 등을 삽입하는 것 역시 가능해진다.

문제는 DSE를 우회할 수 있는 방법이 여전히 존재한다는 것이다. 선택형 부팅을 사용해 DSE를 비활성화 시킨 후 윈도에 진입하는 방법, 커널 제로데이 취약점을 사용하는 방법, 수정된 MBR(Master Boot Record)를 이용하는 방법 등 다양한 방법이 공개돼 있는 상황.
 
MS는 이러한 문제를 2010년에 인지(CVE-2010-4398, Driver Improper Interaction with Windows Kernel Vulnerability)하고 2011년 3월에 패치(MS11-011)를 내놨으나 모든 문제를 해결하진 못했다고 쩡 웬빈 기술매니저는 주장했다.

그는 “MS는 2011년에 커널 취약점을 보완하기 위해 보안패치를 실시했으나, 이는 불완전하다”며 “DSE를 우회하는 방법이 윈도8에서도 그대로 사용할 수 있다는 점이 이 주장의 근거”라고 말했다.

쩡 웬빈 기술매니저는 윈도7, 윈도8에 시그니처가 없는 드라이버를 설치하는 것을 시연했다. 우회(Bypass)하는 프로그램을 실행시키기 전에는 커널 드라이버가 설치되지 않았지만(577 에러), 우회 프로그램을 실행시킨 뒤에는 커널 드라이버가 정상적으로 설치됐다. 이는 CVE-2010-4398 취약점이 여전히 존재하며, 악용할 수 있다는 의미다.

다만 윈도7과 윈도8에서 DSE를 우회하는 방법은 다소 상이하다. 쩡 웬빈 기술매니저는 “모든 윈도8의 드라이버를 수동으로 검토해본 결과, 모든 드라이버가 정상적으로 연동돼 DSE를 우회하기 힘든 것을 확인했다”며 “이후 윈도7 DSE를 우회하기 위해 사용된 드라이버를 윈도8에 적용할 수 있다는 것을 확인했다. 그 파일(mountmgr.sys(장치마운트매니저))은 KMCS가 적용돼 있어 윈도8에서도 사용할 수 있었다”고 설명했다.
 
MS가 이 취약점을 패치하지 않는 이유에 대해 쩡 웬빈 기술매니저는 “커널 드라이버 문제는 매우 복잡한 문제다. 하나를 해결하면 다른 문제점이 생기는 일이 많다”며 “MS는 이 문제를 완벽하게 해결하기는 어렵다고 판단, 다른 패치 등을 통해 우회할 수 없도록 하는 전략을 사용하고 있다”고 설명했다.

<이민형 기자>kiku@ddaily.co.kr

이민형 기자
webmaster@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널