Home > 전체기사
유명하다는 백신 대다수에서 심각한 취약점 발견돼
  |  입력 : 2020-10-07 15:32
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
카스퍼스키, 시만텍, 트렌드 마이크로, 맥아피, 체크포인트...전부 취약
지금은 패치가 이뤄진 상태...공격 대상에 이미 접근 가능해야 공격 가능하기도


[보안뉴스 문가용 기자] 멀웨어 공격을 위해 개발된 보안 도구들이 오히려 취약점을 내포하고 있어 공격의 통로가 된다는 내용의 보고서가 보안 업체 사이버아크(CyberArk)에 의해 발표됐다. 이에 의하면 카스퍼스키, 시만텍, 트렌드 마이크로, 맥아피, 체크포인트 등 유명 기업의 제품들이 위험한 상태라고 한다.

[이미지 = utoimage]


다행히 사이버아크는 보고서 발표 전에 이러한 사실을 모든 제품 제조사들에 알렸고, 백신 개발사들은 취약점을 전부 패치한 상황이라고 한다. 이번 보고서에 등장한 솔루션은 카스퍼스키의 제품 3개, 맥아피의 제품 2개, 시만텍과 포티넷, 체크포인트의 제품 1개씩, 트렌드 마이크로의 제품 5개라고 한다. 그 외에 마이크로소프트, 어베스트, 이바라의 보안 제품들에서 발견된 취약점들의 정보도 보고서 내에 포함되어 있다.

모든 취약점들은 심각하긴 하나, 그 자체로 최초 침투를 허용하는 것은 아니다. 즉 공격을 하고 싶다면 먼저 다른 방법을 통해 네트워크에 침투한 뒤 이 솔루션들을 익스플로잇 할 수 있다는 것이다. 보안 업계 내에서 이러한 종류의 취약점들은 통상 ‘크게 위험하지 않다’는 식으로 분류된다. 이번 취약점들에 대한 반응도 크게 다르지 않다.

사이버아크의 보얀 전문가이지 이 취약점들을 발견한 에란 시모니(Eran Shimony)는 “취약점들의 근본적인 원인은 모두 동일하다”고 설명한다. “그건 바로 보안 솔루션들이 높은 권한을 가진 상태에서 운영될 때 시스템 자원을 잘못 활용한다는 겁니다. 자원의 잘못된 활용을 공격하는 대표적인 공격법에는 DLL 하이재킹이 있고, 이번에 발견된 취약점들 모두 바로 이 공격에 약합니다. 즉 악성 파일을 권한이 높은 프로세스에 삽입하는 게 가능하다는 겁니다.”

그 외에도 권한이 높은 애플리케이션들을 통해 파일을 읽고 쓰고 삭제할 때 엉뚱한 파일을 조작하도록 하는 것도 가능하다고 시모니는 설명한다. “이 점을 악용할 경우 보호되어 있는 파일을 조작할 수 있습니다. 예를 들어 OS 운영에 필요한 파일을 조작하거나 삭제할 수 있다는 것이죠.”

결국 이번에 실험 대상이 된 모든 제품의 제조사들이 저지른 실수는 크게 두 가지다. 권한이 높은 상태에서 실행이 될 때(거의 모든 보안 제품들은 권한이 높다), DLL의 출처를 확인하지 않고 로딩하도록 했다는 것과 권한이 다른 앱들 사이에 자원을 공유하도록 허락했다는 것이다. “DLL 출처를 제대로 확인하도록 하고, 권한이 높은 앱들과만 자원 공유를 했다면 문제가 되지 않았을 겁니다.”

이러한 발견에 대해 카스퍼스키는 “로컬 공격을 가능케 하는 취약점이 맞다”고 확인했다. 카스퍼스키 제품(VPN Secure Connection 5.0 이전 버전, Virus Removal Tool 15.0.23.0 이전 버전, Security Center 12 이전 버전)에서는 취약점이 세 개가 발견됐는데, 이는 다음과 같다.
1) CVE-2020-25045 : 권한 상승 취약점
2) CVE-2020-25044 : 임의 파일 삭제 취약점
3) CVE-2020-25043 : 시스템 내 모든 파일 삭제 취약점

트렌드 마이크로의 글로벌 위협 부분장인 존 클레이(Jon Clay)는 “이미 12월에 패치한 취약점들”이라고 밝혔다. “당시 저희는 중간급 위험도라고 분석했습니다. 일단 공격자가 시스템에 접근했다는 전제를 깔아야만 발동되는 취약점이었기 때문입니다. 지금도 이 취약점에 대한 익스플로잇이 마냥 쉬울 거라고 생각하지 않습니다. 패치 자체도 간단했습니다.”

시모니는 “보안 솔루션도 소프트웨어”라며 “그 어떤 소프트웨어도 100% 안전할 수 없다는 걸 늘 기억해야 한다”고 말한다. “보안 업체들도 그렇고 사용자들도 그렇고 항상 소프트웨어의 최신화를 잊지 말아야 합니다. 보안 솔루션이라고 해서 완전무결한 건 아니거든요. 또한 권한이 높은 계정들, 즉 보안 솔루션을 직접 관리하는 게 가능한 계정들도 주기적으로 점검하고 모니터링하는 게 필요합니다.”

3줄 요약
1. 유명 백신 제품들에서 권한 상승 및 파일 삭제 취약점 등 발견됨.
2. DLL 출처 확인 없이 로딩하고, 권한 다른 앱과 자원 함부로 공유한 것이 문제.
3. 현재 제품들의 개발사 전부 패치를 한 상태. 사용자들이 적용해야 함.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2020년 한해 동안 가장 큰 관심을 갖고 있는 보안 분야는 무엇인가요?
인공지능(AI) 보안
비대면(언택트) 보안
데이터3법/개인정보보호
빅데이터 보안
클라우드 보안
자율주행차 보안
사물인터넷 보안
스마트시티 보안
기타(댓글로)