Home > 전체기사

대부분의 EDR 제품에서 패치하기 어려운 구조적 결함 발견돼

  |  입력 : 2021-04-01 14:30
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
엔드포인트를 보호해 주는 EDR 솔루션들 대부분에 공통적으로 존재하는 구조적 문제점이 발견되고 지적됐다. 후킹이라는 기술이 발동하는 원리에서 발견된 취약점이며, EDR 업체들이 자사 솔루션들을 뜯어 고쳐야 해결이 가능하다. 다행히 소비자들이 위험을 완화시킬 방법이 있다고 한다.

[보안뉴스 문가용 기자] 거의 모든 엔드포인트 탐지 및 대응 시스템(EDR)에 존재하는 구조적 특성 때문에 공격자들이 멀웨어를 무사히 시스템에 안착시킬 수 있다는 연구 결과가 나왔다. 이것이 ‘근본적 결함’ 혹은 ‘설계상 결함’이라 쉽게 고칠 수도 없어서 문제가 더 심각하며, 시장에 나와 있는 EDR 시스템들에 적잖은 변화가 예고된다고 보안 업체 옵티브(Optive)가 발표했다.

[이미지 = utoimage]


EDR 제품들은 엔드포인트 장비들에서 발생하는 수상한 현상들을 탐지하고, 그에 맞는 대응을 하도록 만들어진 보안 솔루션이다. 대부분 시그니처 기반 멀웨어 탐지 기술과 휴리스틱 분석, 샌드박싱 등과 같은 기술을 함께 탑재하고 있다. 이런 솔루션을 설치해 두면 보안 담당자들은 침투해 들어온 위협 요소를 재빨리 격리 및 차단함으로써 네트워크 내 확산을 방지할 수 있고, 따라서 복구도 더 쉽게 이뤄낼 수 있게 된다.

또 EDR 제품들에서는 행동 패턴 분석을 위해 수상한 활동 내역과 정보가 수집되기도 하는데, 이 기술을 후킹(hooking)이라고 부른다. 옵티브의 기술 관리자인 매튜 아이델버그(Matthew Eidelberg)에 의하면 ‘후킹’은 “컴퓨터 프로그램이 실행되는 동안 모니터링을 할 수 있게 해 주는 기술”이라고 표현하기도 한다.

후킹을 가능케 해 주는 요소들 혹은 후킹으로 생성된 요소들을 후크(hook)라고 하는데, 이 후크들은 시스템 콜(System Call, syscall)이라는 인터페이스에 위치한다. 때문에 메모리 구역 할당과 같은 서비스를 요청하거나 파일 생성을 하는 등 OS와 상호작용하는 프로세스를 실행할 수 있게 된다.

아이델버그에 따르면 대부분의 EDR 제품들이 사용자가 프로그램을 실행하는 시점부터 후크들을 syscall에 가져다 놓기 시작한다고 한다. 이 후크들이 있어 엔드포인트 장비에 있는 EDR 에이전트는 장비 내에서 실행되는 모든 프로세스들을 모니터링할 수 있고, 이를 통해 변경 사항을 탐지할 수 있다. EDR 에이전트들은 이런 데이터를 수집하여(즉, 후킹을 통해 모은 데이터를) EDR 개발사의 플랫폼으로 전송해 추가 분석이 가능하도록 한다.

여기서 문제는 후크가 사용자 영역에 존재한다는 것이다. 따라서 프로세스가 생성될 때 메모리 영역 내에서 만들어진 모든 것들이, 해당 프로세스를 생성한 사용자와 동일한 권한을 갖게 된다. “악성 코드 역시 시스템 DLL과 동일한 권한을 갖게 된다는 뜻”이라고 아이델버그가 풀어 설명한다.

그러므로 공격자는 시스템 DLL 내에 있는 후크들을 조작함으로써 악성 코드가 EDR 제품의 탐지 및 차단 기술에 걸리지 않도록 만들 수 있게 된다. 또한 후크가 시스템 콜에 위치해 있기 때문에 공격자들 역시 악성 시스템 콜 함수들을 만들어 프로세스에 주입할 수 있다. 이럴 경우 OS가 공격자들의 악성 코드를 실행시키게 된다. EDR 제품들로서는 이런 악성 요소들을 발견할 수 없게 된다. 따라서 모니터링이나 후킹 모두 불가능하다.

옵티브는 보고서(https://www.optiv.com/explore-optiv-insights/source-zero/endpoint-detection-and-response-how-hackers-have-evolved)를 통해 네 개의 ‘메이저급’ EDR 벤더사들의 제품들을 어떤 식으로 피해 악성 페이로드를 엔드포인트에 주입할 수 있는지 증명해 주는 익스플로잇을 공개하기도 했다.

이에 따르면 공격자에게 필요한 건 원격 엔드포인트에 대한 접근 방법이다. 즉, 이번에 옵티브가 제시한 ‘구조적 결함’을 통해 최초 침투를 이뤄낼 수는 없다는 것이다. 최초 침투에 성공한 자들이 추가 공격을 하기 위해 익스플로잇 할 수 있는 취약점들이라고 옵티브는 강조했다. 또한 커널 영역에서 작동하는 EDR 솔루션들의 경우, 이번 연구 결과에 큰 영향을 받지 않는다고 한다. “커널 영역에 있는 후크들은 공격자들의 손길이 닿기 힘듭니다. 커널 영역에서 코드를 실행시키는 건 꽤나 어려운 일이지요.”

아이델버그는 “EDR 업체들이 이런 식의 공격을 이해하는 데 도움을 주려는 노력을 계속해서 이뤄가고 있다”고 밝혔다. “실제로 일부 업체들은 제품을 다시 설계하기도 했으며, 후킹의 기술력을 보완해 시스템 DLL의 조작 행위도 탐지할 수 있도록 했습니다. 아예 후크들을 커널로 옮겨버린 벤더들도 있습니다. 하지만 이런 움직임들이 사용자들 사이에도 보편적으로 적용되려면 시간이 좀 더 걸릴 것입니다.”

이 때문에 사용자 조직들은 현재 사용하고 있는 EDR 제품의 벤더사들과 상담을 진행할 필요가 있으며, EDR 외의 탐지 기술을 구축해야 한다고 아이델버그는 권장했다. “이 취약점은 일단 침투에 성공한 공격자들만이 노릴 수 있습니다. 그러니 이 최초 침투에 대한 경계를 더 삼엄하게 한다면 EDR을 우회시켜 악성 코드를 심는 공격을 할 수 없게 됩니다.”

3줄 요약
1. 대부분 EDR 제품들에 있는 구조적 결함이 발견됨. 악용할 경우 EDR 탐지를 피해갈 수 있음.
2. 구조적 결함이란, 후킹 기술과 관련된 것으로 메모리 내 많은 요소들이 사용자와 동일한 권한을 갖게 된다는 점. 악성 코드 포함.
3. 현재 후킹 기술의 작동 원리에 사각이 존재한다는 것으로, EDR 벤더사들은 이를 하나하나 수정하는 중.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 1
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
2021 전망보고서넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
과기정통부가 발표한 ‘K-사이버방역 추진전략’ 8대 과제 가운데 가장 시급하고 중요하게 해결해야 할 과제는?
사이버보안 대응체계 고도화
수요자 중심 디지털보안 역량 강화
차세대 융합보안 기반 확충
신종 보안위협 및 AI 기반 대응 강화
디지털보안 핵심기술 역량 확보
정보보호산업 성장 지원 강화
디지털보안 혁신인재 양성
디지털보안 법제도 정비