아직 끝나지 않았다. 10일간의 황금연휴를 이렇게 추억하는 것은 나 뿐인 것인가. 5월 3일 기사를 정리하는데 이미 지나간 날이라는 것이 슬프다. 하, 다시 그 때로 되돌아가면 더 열심히 놀 수 있는데. 아무튼, 전편에 이어서 이야기하면 이 전 날들에 비해 더 큰 사건들로 이루어진 날들이었지 않나 생각된다.
조심해! Google Doc(5월3일)[1][2][3]
메일로 오는 구글 문서 파일이 신뢰할 수 있는 파일인지 한번쯤 의심해볼 필요성이 있다. 사용자가 받은 메일에서 첨부된 문서 파일을 실행하면 구글은 문서를 열기 위해 Google Docs를 요청한다. 하지만 최근에는 Google Docs를 요청하는 순간 새로운 피싱 사이트로 연결되는 메일 사기가 순식간에 퍼져나갔다. 다행인 점은 구글이 이를 알고 피싱을 무력화하기 위해 빠르게 대처했다는 점이다.
메일로 들어오는 파일은 어느 파일이든 의심해 볼 필요성이 있다. 요즘은 구글 문서에 연결되는 파일이 문제가 되고 있었다. 이 문제는 사용자가 문서를 열면 메일은 파일을 열기 위해 구글독스를 요청하는데 이 때 들어가지는 링크가 구글독스 문서인 것처럼 보이는 피싱 사이트로 연결이 되기 때문이다. 더욱이, 받은 메일을 봤을 때도 사용자가 알고 있는 발신자의 이름을 빌려 메일을 수신 받기 때문에 의심하기가 어려웠을 수도 있다. 사용자가 링크를 클릭하는 순간 수신자는 발신자에게 구글 연락처 목록 및 구글 드라이브에 접근 권한을 부여하라는 메시지가 표시된다. 이 과정에서 악성파일은 사용자의 메일 주소록에 접근하여 사용자의 메일 상대들을 공격하고 더 많은 메일이 퍼지도록 했다. 이 같은 메일은 짧은 시간 내에 상당히 많은 사람에게 퍼져 약 백만명의 사용자에게 전송된 것으로 집계된다.
구글은 이를 알고 최대한 피해를 막고자 빠르게 대처해나갔다. 먼저 트위터를 통해 Google은 Google Docs로 보이는 피싱 전자 메일을 조사하고 있다는 메시지를 남겨 사람들에게 상황을 알린 후, 문서파일이 첨부된 Gmail은 클릭 연결하지 않고 피싱으로 신고하라는 말을 덧붙여 경고성 메시지를 남겼다. 이어서 가짜 페이지를 제거하고 세이프 브라우징을 통해 스팸을 차단하고 반복적인 공격을 방지하는 업데이트를 알렸다.
구글은 문서파일을 실행하였거나 혹은 문서 파일을 받았을 경우에 대한 주의사항을 공지하였다. 먼저 전자메일이 가족에게서 온 것이라고 하더라도 클릭하지 않을 것을 당부했으며 첨부파일이 가장 가까운 사람들에게서 온 것으로 보이는 경우에도 자동으로 실행되지 않도록 설정하라고 이야기 했다. 또한, 웬만한 악성 메일은 겉보기에는 알고 있는 상대방 메일처럼 보일 수 있지만 실제로는 hhhhhhhhhhhhhhhh@mailinator.com라는 주소의 BCCed 수신자가 받는다. 다중 요소 인증을 키는 것도 한 방법이다. 구글 및 기타 이메일 및 소셜 미디어, 은행 서비스 등은 고객에게 중요한 인증을 사용할 때 다중 요소 인증을 요구한다. 만약 이미 구글 문서를 클릭하였을 경우 이를 설정하면 해커가 도난 당한 비밀번호로 계정에 침입하는 것을 방지할 수 있다. 구글 계정에 대한 제 3자 접근 권한 설정에서 ‘Google 문서도구’에 대한 접근 권한을 취소할 수 있다. 마지막으로 해킹을 당했으면 가장 먼저 해야 할 일인 비밀번호를 변경하고 받은편지함 오른쪽 상단 아래에 있는 화살표를 클릭하여 피싱 신고를 선택한 후 구글에 신고를 한다. 회사는 이러한 스팸 문서를 제한하고 중지하기 위해 보고서를 기록 하도록 되어 있기 때문이다.
하지만 구글 자체를 이미 너무 많은 사용자가 사용하고 있기 때문에 의심스러운 메일을 받았거나 얼마나 많은 사람들이 이에 영향을 받았는지 확실하지가 않다. 때문에 완전히 막기에는 무리가 있었고 얼마나 큰 피해를 입었는지도 가늠이 잘 안될 것이다. 어쨌든 본인의 이메일도 한 번 확인해보자.
인텔, 칩의 원격관리 기능에 보안취약점 패치(5월5일)[4][5][6]
지난 7년간 인텔에서 판매되던 인텔 서버 칩셋에서 권한 상승 버그가 발견되었다. 거의 10년동안 발견되지 않은 취약점으로 얼마나 악용되었을지 감도 안 잡히는 버그다. 이 취약점을 이용하면 원격 공격자는 암호가 필요하지 않고 취약한 PC, 랩톱, 서버, Winodws PC를 원격으로 완벽하게 제어할 수 있다.
2010년에 출시된 인텔의 Nehalem 아키텍처 칩은 AMT (Active Management Technology), ISM (Standard Manageability) 및 SBT (Small Business Technology) 펌웨어에서 공격자가 원격으로 시스템을 제어 할 수 있는 권한 상승 문제에 취약하다는 발표를 했다. 첫 번째 취약점은 AMT 및 ISM 장치에서 칩을 통해 시스템 권한을 제어할 수 있으며 두 번째 취약점은 로컬 공격자가 AMT, ISM 및 SBT가 있는 칩에서 권한 없이 네트워크 또는 로컬 시스템 권한을 얻을 수 있다.
인텔 AMT 기술은 IT 관리자가 전체 컴퓨터에 대한 유지보수 및 기타 작업을 원격으로 수행할 수 있는 인텔의 액티브 관리로 임베디드 기술을 제공한다. 즉, AMT를 사용하면 PC 전원이 꺼져 있어도 관리자가 원격으로 컴퓨터의 키보드 및 마우스를 제어하여 소프트웨어 업데이트 및 하드 드라이브 삭제와 같은 작업을 할 수 있다. 편리성을 위해 대상 PC가 종료되어 있더라도 웹 브라우저를 통해 접근할 수 있으며 관리자가 설정한 암호로 보호된다.
하지만 공격자가 빈 암호를 입력하고 웹 콘솔로 들어갈 수 있다는 점에서 문제가 된다. 이 취약점을 발견한 한 임베디드 연구원은 웹 인터페이스의 기본 계정인 admin계정이 사용자의 암호를 효과적으로 처리하기 때문에 로그인 프롬프트에서 아무것도 입력하지 않더라도 누구나 로그인을 할 수 있다고 말했다. 특히나, 인텔의 칩셋과 상관없이 열려있는 포트 16992와 16993를 가진 이라면 누구나 위험에 처해있다고 덧붙였다.
Microsoft의 수난시대(5월8일)[7][8][9][10][11][12][13][14][15]
이번 연휴 동안 가장 바빴던 곳은 마이크로소프트의 보안팀이 아니었나 생각한다. 마이크로소프트는 이번 5월 패치에서 4개의 제로데이와 55개의 취약점을 보안패치 했다. 특히나 4개의 제로데이 중 3개는 지난 몇 개월 동안 악의적으로 많이 사용되어 문제가 되었던 취약점이다. 하지만 패치를 적용한 후 얼마 안 있어 Google Project Zero팀의 한 연구원은 마이크로소프트의 윈도우 운영체제에서 악성코드를 탐지하는 백신 프로그램을 통해 원격으로 코드를 실행할 수 있는 취약점을 발견하였다. 이를 발견한 연구원 Natalie Silvanovich는 이 취약점을 ‘crazy bad’라고 얘기할 정도로 보안 등급이 높은 취약점으로 분류되었다. 마이크로소프트는 서둘러 이 취약점 역시 보안패치를 했다.
마이크로소프트가 패치한 첫 번째 제로데이 취약점은 CVE에 CVE-2017-0261라고 등록되어 마이크로 오피스 2010, 2013 및 2016의 32비트, 64비트 버전에 있는 취약점이다. 이 취약점은 Office에서 EPS(Encapsulated PostScript) 이미지 파일을 처리할 때 원격 코드를 처리하는 방식에서 발생한다. 공격자는 사용자에게 조작된 그래픽 이미지를 첨부한 메일을 보내어 사용자가 파일을 실행하는 순간 악용될 수 있다. 이 공격은 3월 14일에 패치된 윈도우 권한 상승 버그를 이용하여 시스템을 완전히 제어함으로써 공격자가 사용자의 컴퓨터에 스파이웨어 및 기타 악성코드를 설치할 수 있다.
두 번째 제로데이 취약점은 CVE에 CVE-2017-0262라고 등록되어 있다. 파이어아이(FireEye) 및 EST 연구원의 말에 따르면 이 취약점은 팬시 베어 (Pawn Bear) 또는 폰 스톰 (Pawn Storm)으로도 알려진 APT28 해킹 그룹이 이 EPS와 관련한 마이크로소프트 오피스 제로데이 취약점을 많이 사용하는 것으로 알려져 있다. 공격자는 이 취약점을 이용하여 사용자가 조작된 파일을 실행할 때 원격 코드를 실행시킬 수 있다.
세 번째 제로데이 취약점은 CVE-2017-0263라고 등록되어 있으며 윈도우 운영체제에 지원되는 모든 버전에서 권한을 상승시킬 수 있는 취약점이다. 이 취약점은 윈도우 커널 모드 드라이버가 메모리의 개체를 처리하는 방식으로 인해 공격자가 커널 모드에서 임의 코드를 실행한 다음 악성코드를 설치하여 데이터를 보거나 변경, 삭제하는 등 제어할 수 있다고 한다. 즉, 한마디로 전체 사용자 권한으로 새 계정을 만들 수 있다. 보통 러시아에 있는 여러 사이버 스파이 활동을 하는 해커들이 두 번째와 세 번째 취약점을 많이 사용한다고 한다.
마지막으로 CVE-2017-0222로 등록된 네 번째 제로데이 취약점은 Internet Explorer 10 및 11에 영향을 미치는 또 다른 취약점으로 Internet Explorer가 메모리의 개체를 처리하는 방식에 문제가 있다. 악성 웹 페이지를 열면 메모리가 손상되어 원격 코드를 실행할 수 있다. 즉 이를 통해 공격자가 사용자의 시스템을 제어할 수 있다. 이 외에도 55개의 취약한 보안 패치를 적용하였다. 하지만 이보다 더 급하게 패치한 것은 따로 있다.
‘Crazy bug'라고 불리는 이 취약점을 발견한 구글프로젝트팀의 나탈리 실바노비치(Natalie Silvanovich) 취약점 이야기는 그의 동료 Ormandy의 트위터를 통해 알려졌다. 발견한 당시 마이크로소프트에게 패치할 시간을 주기 위해 이에 대해 자세한 내용을 언급하지 않았지만 이 후 마이크로소프트의 빠른 대처로 조금 뒤에 이 취약점에 대한 설명글이나 기사가 올라왔다. 특히나, Ormandy는 마이크로소프트가 보안 패치를 이렇게 빨리한 것은 매우 특별한 일이라는 말을 남기기도 했다.
나탈리 실바노비치 말에 따르면 이는 마이크로소프트 악성코드 방지 엔진(MsMpEng)에서 파일을 검색하는 방식에 발생하는 취약점으로 공격자는 사용자 시스템에서 메모리 손상을 줄 수 있는 악의적인 파일을 만들어 공격한다. 연구자들은 이 취약점을 NScript에 존재하는 "유형 혼란" 취약점으로 분류하였다. 즉, NScript를 사용하는 파일 시스템이나 네트워크 활동을 평가하는 mpengine의 구성 요소는 JavaScript 입력을 검증하지 못해 발생하는 취약점인 것이다.
조금 더 자세히 설명하자면 MsMpEng에는 스캐닝과 분석을 담당하는 mpengine이 존재한다. mpengine은 복잡하고 광범위하고 도구로 사용된다. 예를 들어 수 많은 아카이브 형식이나 실행할 수 있는 패커(packers) 혹은 암호, 에뮬레이터, 다양한 언어와 아키텍처 통역기 등 공격자는 자신의 코드를 통해 이러한 수 많은 mpengine 기능에 접근할 수 있다. 더불어 mpengine에 들어오는 Javascript는 경험적 사례를통해 판단을 하기 때문에 이 취약점을 잘 제어함으로써 mpengine은 중첩된 아카이브를 풀고, 애매한 아카이브 형식을 지원하기 때문에 네트워크에서 이를 악용한다면 심각한 수준의 위협이 될 수 있다. 또한 주입 된 악의적인 페이로드로 대상 시스템을 완벽하게 제어하고 스파이웨어 설치, 중요한 파일 훔쳐 로그인 자격 증명 등과 같은 악의적인 작업을 수행 할 수있는 향상된 LocalSystem 수준 권한으로 실행된다.
이 같은 취약점이 생긴 이유로 악의적인 파일은 다운로드를 하자마자 공격이 시작되기 때문에 바이러스 백신 프로그램은 기본적으로 실시간 검색 기능을 통해 다운로드한 파일을 먼저 자동으로 검사한다는 것에 있다. 이 취약점을 통해 공격자는 다른 이에게 이메일을 보내거나 혹은 사용자를 특정 사이트로 유인하는 등 여러가지 방법으로 악용될 수 있다. 더욱이, 윈도우 7 이상의 버전에서 바이러스 방지 프로그램이 설치되어 있다면 누구나 위험 대상이기 때문에 심각한 버그임은 틀림없다. 아마도 100만대 이상이 이 버그 위험에 그대로 노출되었지 않았을까 생각한다.
9일에 있던 선거를 통해 문재인이 대통령에 당선되고 사이버 보안과 관련한 공약에 대해 되짚어 볼 필요성이 있다. 그의 선거전 공약으로 스타트업의 조달 참여 보장과 의무 구매 비율을 확대하며 창업 기업 대상으로 법인세 유예 등 대대적인 지원을 아끼지 않을 것이라 답했다. 또한, 신 시장 창출을 위해 IoT 인프라를 효율적으로 연계하여 최고의 IoT 생태계를 조성할 것이라는 의견을 내놓았다. 이 외에도 소프트웨어 인재 양성을 위해 5년동안 1만명 이상의 초등학교와 중학교 학생들에게 교육을 통해 소트프웨어 교육 인력을 양성하고 소프트웨어 영재 1만 명 이상을 양성할 것이라 답했다. 연구자는 연구의 자율성을 강화하고 R&D 자금의 적기 투자 및 지속적이며체계적인 성장 지원을 아끼지 않을 것이라 답했다.
사이버보안과 프라이버시 문제 등에 관해서는 국내 정보수집 업무를 전면 폐지하고 해외 안보 및 테러, 국제 범죄를 전담으로 맡아 처리하는 정보기관 해외안보정보원을 개설할 것이라고 답했다. 또한, 통신비밀보호법을 개정하여 사이버사찰과 도감청 남용을 방지하고 개인정보 보호 체계의 효율화와 위원회의 위상을 강화할 것이라고 답했다. 특히 개인정보보호 관리체계를 개선하고 개인정보 자기 결정권을 실질적으로 보장하는 등 자신의 개인정보의 사용 결정권을 지금보다 더 많이 제어할 수 있도록 한다고 답했다. 개인 정보보호와 관련한 전문가 육성은 물론 개인의 위치 정보 등 프라이버시 침해를 방지하고 국정원 주도가 아닌 독자적 사이버 보안 전략 컨트롤 타워를 설치, 사이버 보안 역량 강화를 위해 더욱 힘쓸 것이라고 답했다. 더불어 금융 기관 정보보호 시스템에 상시 평가제를 도입하고 온라인 상의 익명 표현의 자유를 보장하기 위해 개별법상의 인터넷 실명제를 폐지할 것이라고 덧붙였다.
=> 2017년 5월 10일간의 황금연휴 속 보안 이슈 ②
