솔루션

‘V3’ 백신 취약점 찾아낸 20세 연구원

최민지

[디지털데일리 최민지기자] 올해로 만 20세인 박서빈 하임시큐리티 선임 연구원<사진>은 안랩의 대표 백신인 안티바이러스 제품 ‘V3’의 보안 취약점을 찾아냈다. 이에 안랩은 버그바운티 상금으로 1만달러(한화 약 1079만원)를 박 연구원에게 지급하고 보안 패치를 완료했다고 30일 밝혔다.

이와 관련 박서빈 연구원은 지난 29일 V3 제로데이 취약점 시연을 진행했다. 앞서, 국제해킹보안컨퍼런스 ‘POC2017’에서 함께 열린 국제버그바운티 대회 ‘제로페스트(Zer0Fest)’에서 비공개로 V3 취약점을 발표한 바 있다.

버그바운티 대회는 보안 전문가인 해커가 특정 소프트웨어나 애플리케이션에 존재하는 알려지지 않은 보안 취약점을 악의적인 목적으로 사용하기 전, 해당 기업에 취약점 정보를 제공해 상금 또는 명예를 받을 수 있는 행사다.

이날 박 연구원은 이번 취약점이 악용됐을 경우를 가정한 시연을 실시했다. 이번 V3 취약점은 현재까지 실제 공격에 악용되지 않은 것으로 조사됐다.

박 연구원이 해커PC에서 원격제어 권한을 얻기 위한 명령어를 입력하자, 사용자는 ‘V3 보안 패치 알림’ 메일을 받았다. 사용자가 이 메일에 접속하는 순간 해커에게 제어권한이 부여돼 사용자 PC의 IP 주소 등이 확인됐다. 해커는 백도어를 다운로드하는 명령을 실행시켰고, 명령제어(C&C) 서버 툴에 감염사실을 확인했다.

이제 이용자 PC를 장악한 해커는 파일 확인은 물론 각종 폴더 내 파일, 사진, 영상 등을 다운로드하고 업로드하기 시작했다. 원격지에서 웹캠을 확인해 이용자의 얼굴까지 몰래 볼 수 있었다.

이번에 공개된 V3 취약점은 무료백신인 PC버전 V3 Lite와 기업용 V3 등을 대상으로 한다. 이 취약점을 악용하게 되면 시스템 최고 권한을 획득하고 파일 다운로드·업로드, 카메라 제어 등 사용자 PC를 장악한다. 공격코드가 실행되더라도 V3가 정상적으로 동작하지 않기 때문에 사용자는 감염사실을 인지할 수 없고, 설치된 PC를 모두 감염시킬 수 있는 파급력도 갖췄다는 설명이다.

윈도 XP부터 윈도 10 최신버전과 윈도 서버 제품군의 최신버전에서 작동하는 V3 Lite, 365 클리닉, 인터넷 시큐리티 8.0/9.0 등에 영향을 끼치고 실시간 감시가 활성화돼 있는 모든 V3 제품군이 타깃이 될 수 있다.

박 연구원은 “최고 관리자 권한을 획득할 수 있는 취약점으로, 일반 시스템에 로그인되는 권한보다 더 높은 수준”이라며 “안랩 모듈 자체의 취약점이라서 안랩에서만 발생 가능한 보안 문제”라고 설명했다.

이어 “모듈은 기업용, 개인용이 동일하기 때문에 같은 경로로 감염될 수 있다”며 “이번 취약점은 버퍼 오버플로우로 확인됐다”고 덧붙였다.

박 연구원은 제로페스트에 참가하기 위해 이번 취약점을 찾았으며, 기간은 2주정도 소요됐다. 박 연구원은 이스트소프트 알툴즈, 안랩 V3 PC 및 모바일 시큐리티 버전 등 국내 다수 취약점을 찾아내 벤더에게 제공한 경험이 있으며, 국내 해킹 방어대회에도 입상한 바 있다.

박 연구원은 “제로페스트 출전을 위해 V3 백신 취약점을 찾기 시작했으며, 국내 백신의 경우 해외 백신에 비해 알려진 것들이 없어 호기심이 생겼다”고 전했다.

안랩은 지난 29일 오후 8시50분경 박 연구원이 시연한 취약점에 대응 완료했으며, 엔진의 진단 코드 업데이트를 통해 해당 문제를 해결했다. 또한, 이번 취약점이 버그바운티 대회를 통해 발표된 만큼, 대회 주최 측에서 밝힌 1만달러 상금도 함께 지급했다.

한편, 이번 제로페스트 대회에서는 안랩 V3뿐 아니라 애플사의 맥OS 시에라(Sierra) 커널 취약점과 한컴 오피스 취약점도 발표됐다. 다만, 한컴오피스는 국내에 국한된 보안문제라 비공개로 이뤄졌다. 한컴오피스의 경우, 지능형지속위협(APT) 공격에 악용될 소지가 있었다.

맥OS 시에라 취약점은 데모 현장에서 애플 연구원에게 문제를 해결하도록 했으나, 애플 내부에서 알려진 취약점이라 기준을 충족시키지 못해 상금은 획득하지 못했다. 대신, 취약점을 발견한 점에 대해 보안에 기여했다는 증명 제공과 홍보활동을 지원키로 했다.

한컴의 경우, 대회 상금에 포함되지 않았으나 한컴이 한국인터넷진흥원(KISA) 버그바운티에 속해있기 때문에 이곳에 알리기로 했다. 이 경우, KISA를 통해 상금을 지급받게 된다.

<최민지 기자>cmj@ddaily.co.kr

최민지
cmj@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널