Home > 전체기사
윈도우 DNSSEC 제로데이 취약점 패치 발행, “즉시 적용해야”
  |  입력 : 2017-10-11 17:52
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
마이크로소프트, 10일 윈도우 DNS 클라이언트 패치 발행
취약점 공략하면 동일 네트워크의 모든 시스템 공격 가능해


[보안뉴스 오다인 기자] 마이크로소프트가 어제(10일) 윈도우 DNS 클라이언트의 세 가지 취약점에 대해 패치를 발행했다. 윈도우 8, 윈도우 10, 윈도우 서버 2012 및 2016이 해당되는데 윈도우 DNS 클라이언트가 보안을 내세워 출시된 제품이라는 점을 생각할 때 다소 역설적인 일이다.

[이미지=iclickart]


미국의 보안 업체 비숍 폭스(Bishop Fox)는 힙 버퍼 오버플로우(heap buffer-overflow) 취약점을 발견했다. 이 취약점은 마이크로소프트의 10월 패치에 묶여 CVE-2017-11779 보안 업데이트로 수정됐다. 공격자가 해당 취약점을 공략하면 목표한 윈도우 기기를 완전히 제어할 수 있다. 구체적으로, 이 버그는 마이크로소프트의 데이터 기록 기능 중 하나에서 발견됐다. ‘DNSSEC’이라고 불리는 안전한 DNS(Domain Name System) 프로토콜에서 이 기능이 사용된다.

DNSSEC은 DNS가 스푸핑될 수 없도록 DNS를 전자 서명하고 검증하는 보안 계층이라고 할 수 있다.

비숍 폭스의 닉 프리먼(Nick Freeman)은 이번 취약점들을 발견한 연구자다. 프리먼은 마이크로소프트에서 DNSSEC 기능으로 제공하는 NSEC3(Next Secure Record version 3)가 문제의 장본인이라고 말했다. 프리먼에 따르면 이런 취약점을 발견하는 건 별로 놀라울 것도 없는 일이다. 새로운 보안 기술이 소프트웨어에 추가될 때마다 약점이 드러나기 마련이기 때문이다. 프리먼은 마이크로소프트가 DNSSEC 메시지 포맷을 부적절하게 검토했기 때문에 “실행 수준이 떨어졌다”고 지적했다.

프리먼은 “다른 업체의 DNSSEC 실행에서 취약점이 발견된다고 하더라도 전혀 놀랍지 않을 것”이라고 덧붙였다.

그러나 비숍 폭스가 인지하지 못한 사이, 트렌드마이크로(Trend Micro) 제로데이 이니셔티브 소속의 넬슨 윌리엄 가마조 산체스(Nelson William Gamazo Sanchez)라는 연구자 역시 해당 취약점들을 발견하고 마이크로소프트에 이 사실을 보고했다. 마이크로소프트는 보안 업데이트와 관련한 감사의 말 섹션에서 프리먼과 산체스 두 사람 모두를 언급했다.

공격자가 윈도우의 DNSSEC 취약점을 공략하려면, 우선 목표 기기와 물리적으로 동일한 네트워크를 사용하고 있어야 한다. 악성 내부자나 외부자가 중간자 공격을 하기 위해선 DNS 요청을 피해 기기로부터 가로채야 한다는 뜻이다. DNS 요청은 인터넷 검색과 이메일 확인 같은 것일 수도 있고, 심지어 소프트웨어 업데이트를 위해 자체 검색을 수행하고 있는 기기로부터 나오는 것일 수도 있다.

그런 다음, 공격자는 윈도우 DNS 요청에 악성 데이터를 담아 회신할 수 있다. 이로써 공격자는 취약점을 끌어내고 DNS 클라이언트 메모리를 오염시킬 수 있다. 이후, DNS 플로우를 통제할 수 있고 궁극적으론 피해 기기에 대한 제어권을 완전히 확보할 수 있게 된다. 프리먼은 “누군가 회사 노트북을 카페에서 사용하거나 와이파이에 연결시켜서 케이블 라우터가 해킹되고 공격에 당한다면 공격자는 회사 네트워크에 진입할 수 있는 입구를 얻은 셈”이라고 말했다. 그는 “공격자가 해당 네트워크에 있는 다른 시스템에 대해서도 공격할 수 있다”고 설명했다.

이 같은 공격을 차단하는 최선의 방법은 공공 와이파이를 멀리하는 것이다. 혹여 연결됐을 때는 VPN을 사용해야 한다.

대부분의 기업에서 DNS 보안은 후순위에 밀려있다. DNS는 상대적으로 잘 부각되지 않는 네트워크 기능이면서 보통 당연시되기 때문이다. 최근 어느 설문조사는 기업 10개 중 3개가 DNS 인프라에 사이버 공격을 당한 것으로 나타났다고 짚었다. 이 같은 공격이 발생했다고 인지한 기업의 수만 따졌을 때 30%니, 실제 DNS 공격 수치는 훨씬 높을 것으로 보인다.

DNS 제공업체 다인(Dyn)을 겨냥해 대규모 디도스 공격이 발생한 것이 약 1년 전이다. 당시 공격은 아마존, CNN, 넷플릭스, 옥타, 핀터레스트, 레딧, 트위터 등 대형 웹사이트의 운영을 방해했다.

한편, 비숍 폭스 연구진은 공격자들이 윈도우 DNS 취약점을 공격했다는 징후는 아직까지 나타나지 않았다고 밝혔다. 이들 연구진은 취약한 윈도우 기기에 ‘즉시’ 패치가 필요하다고 권고했으며 발견한 사실에 대한 구체적인 기술 보고서를 발행했다. 이들은 패치하지 않을 경우, 앞서 언급한 공격들에 당할 수 있다고 경고했다.

프리먼은 “이는 매우 전형적인 취약점들로, 공격자들이 해당 취약점을 써먹을 능력과 이유도 충분하다”고 말했다.
[국제부 오다인 기자(boan2@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2019년 국정감사에서 가장 중점적으로 다뤄야 할 보안이슈는 무엇이라고 보시나요?
잇따른 개인정보 유출사고
드론 테러 대응 대책
보안 관련 법 체계, 제도 정비
국가 사이버안보 거버넌스(보안 콘트롤타워) 정립
국가 차원의 사이버테러 대응 방안
스마트시티에서의 보안위협 대응
https 접속 차단 정책
국가핵심기술 및 기업 기밀 보호 방안
기타(댓글로)
      

유니뷰코리아
CCTV / 영상보안

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

아이디스
DVR / IP / VMS

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

Videotec
PTZ 카메라

대명코퍼레이션
DVR / IP카메라

티제이원
영상 보안 / 출입 통제

하이크비전 코리아
CCTV / IP / NVR

원우이엔지
줌카메라

도마카바코리아
시큐리티 게이트

다후아 코리아
CCTV / DVR

씨앤비텍
통합보안솔루션

지케이테코
출입통제 / 얼굴인식

아이디스
DVR / IP / VMS

한국하니웰
CCTV / DVR

이화트론
DVR / IP / CCTV

경인씨엔에스
CCTV / 자동복구장치

테크스피어
손혈관 / 차량하부 검색기

비전정보통신
IP카메라 / VMS / 폴

슈프리마
출입통제 / 얼굴인식

동양유니텍
IR PTZ 카메라

트루엔
IP 카메라

링크플로우
이동형 CCTV 솔루션

보쉬시큐리티시스템즈
CCTV / 영상보안

엔토스정보통신
DVR / NVR / CCTV

CCTV협동조합
CCTV

아이티엑스엠투엠
DVR / NVR / IP CAMERA

디비시스
CCTV토탈솔루션

씨오피코리아
CCTV 영상 전송장비

테크어헤드
얼굴인식 소프트웨어

씨엠아이텍
근태관리 소프트웨어 / 홍채 스케너

구네보코리아
보안게이트

다민정보산업
기업형 스토리지

에스카
CCTV / 영상개선

이스트시큐리티
엔트포인트 보안

신우테크
팬틸드 / 하우징

에프에스네트웍스
스피드 돔 카메라

엔클라우드
VMS / 스위치

케이제이테크
지문 / 얼굴 출입 통제기

알에프코리아
무선 브릿지 / AP

사라다
지능형 객체 인식 시스템

일산정밀
CCTV / 부품 / 윈도우

엘림광통신
광전송링크

티에스아이솔루션
출입 통제 솔루션

창우
폴대

퍼시픽솔루션
IP 카메라 / DVR

새눈
CCTV 상태관리 솔루션

이노뎁
VMS

케이티앤씨
CCTV / 모듈 / 도어락

아이유플러스
레이더 / 카메라

진명아이앤씨
CCTV / 카메라

브이유텍
플랫폼 기반 통합 NVR

아이엔아이
울타리 침입 감지 시스템

두레옵트로닉스
카메라 렌즈

이후커뮤니케이션
CCTV / DVR

DK솔루션
메트릭스 / 망전송시스템

옵티언스

대산시큐리티
CCTV 폴 / 함체 / 랙

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

더케이
투광기 / 차량번호인식

유진시스템코리아
팬틸트 / 하우징

세환엠에스
시큐리티 게이트

지에스티엔지니어링
게이트 / 스피드게이트

카티스
출입통제 / 외곽경비

유니온커뮤니티
생체인식 / 출입통제