보안

"SW 취약점 없이 악성 PDF 파일만으로 컴퓨터 감염 가능"

Jeremy Kirk | IDG News Service 2010.04.02

악성 PDF 파일에 임의 코드를 삽입해서 윈도우를 구동시키는 방법이 밝혀져 조사가 진행 중이다.

 

이 코드는 인기 PDF 리더 애플리케이션을 이용할 때 구동되지만, 소프트웨어 취약점을 악용한 것은 아니다.

 

어도비 시스템즈와 폭싯(Foxit)의 PDF 리더는 임베디드된 실행기(executables)를 직접적으로 구동하지 못하게 하지만, 보안 연구자인 디디어 스티븐은 자신의 블로그에 다른 실행 명령을 통해서 이를 구동시키는 방법을 찾아냈다고 전했다.

 

감염된 문서를 열면, 어도비 리더는 코드를 실행하는 것이 컴퓨터에 해를 입힐 수 있다고 경고를 하고, 사용자가 애플리케이션 실행을 승인해야만 하도록 설정해 두었다. 그러나 스티븐은 메시지의 일부를 변경해서 사용자가 해당 실행 파일을 열도록 수정할 수 있다는 것을 알아냈다.

 

그의 설명에 따르면, 리더(Reader)는 무해한 계산 프로그램을 실행하지만, 이는 악성 소프트웨어로 대체될 수 있었다. 스티븐의 PoC(proof-of-concept)는 윈도우 XP SP3와 윈도우 7의 어도비 리더 9.3.1을 이용한 것이다.

 

폭싯의 PDF 리더는 경고를 보여주지 않지만, PoC 코드가 원래 쓰여졌기 때문에, 실행파일이 “PDF 언어 지원 변형 때문에” 구동되지 않았다.

 

그런데 스티븐은 이 문제를 해결해서 실행파일이 단순히 조작된 PDF를 여는 것으로 실행되도록 만들었다.

 

스티븐은 이 같은 사실을 두 업체에 알렸다. 이메일을 통해 그는 “폭싯 소프트웨어에게 보고했으며, 이 문제를 이번 주에 수정하겠다고 전해왔다. 어떻게 고쳐질지는 모르지만 경고 메시지가 바뀔 것으로 예상된다”라고 전했다.

 

스티븐의 PoC는 공개되지 않았지만 누군가 이를 찾아낼 가능성은 있다.

 

그러나 그는 이 문제에 대해서 “쉽지 않을 것이다. 임의 코드를 실행시키는데 5 단계가 필요하다. 블로그에 공개한 테스트 PDF 파일은 그 중 첫 번째 단계일 뿐”이라고 설명했다.

 

한편, 어도비는 스티븐의 증명이 PDF 사양의 기능 정의에 의존하고 있다고 말했는데, 이 정의는 ISO PDF 32000-1:2008 이라는 국제표준화기구(International Organization for Standardization)의 표준에 명시되어 있는 것이라고 전했다. 이 사양은 실행 명령을 정의하기도 한다. jeremy_kirk@idg.com

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.