보안

시만텍 제품의 웜 가능성 결함으로 수백만 대의 컴퓨터, 해킹에 노출

Lucian Constantin | IDG News Service 2016.07.01
구글의 한 보안 연구원이 안티바이러스 업체인 시만텍(Symantec)의 기업 및 소비자 제품에서 해커가 손쉽게 악용해 컴퓨터를 제어할 수 있는 매우 심각한 취약성을 발견했다.

시만텍은 영향을 받는 제품을 위한 패치를 공개했지만 일부 제품이 자동으로 업데이트되는 반면, 영향을 받는 일부 기업용 제품은 수동 개입이 필요한 상황이다.

구글의 프로젝트 제로(Project Zero)팀의 연구원으로 다른 벤더의 백신 제품에서 유사한 취약점을 발견한 타비스 오만디가 해당 결함을 발견했다. 이 팀은 안티바이러스 세계에서 연구원들이 발견한 형편없는 소프트웨어 보안 상태에 집중하고 있다.

오만디가 발견한 대부분의 새로운 결함은 시만텍 안티바이러스 엔진의 컴포저(Decomposer) 구성요소에 위치하고 있다. 이 구성요소는 RAR과 ZIP 등의 압축 파일을 포함해 다양한 파일 형식의 분석을 처리한다. 또한 디컴포저는 윈도우 시스템에서 가장 권한이 많은 시스템 사용자로 구동한다. 시만텍은 이 취약점에 대한 의견을 내놓지 않았다.

보안 연구원들은 안티바이러스 벤더들이 불필요하게 높은 권한을 통한 파일 분석 등 위험한 작업을 수행한다고 여러 번 비판한 바 있다. 역사적으로 이 작업은 모든 종류의 애플리케이션에서 여러 임의적인 코드 실행 취약점의 근원이었다.

오만디는 시만텍 코드의 취약성을 이용해 ZIP, RAR, LZH, LHA, CAB, MIME, TNEF, PPT 파일을 처리했다는 사실을 발견했다. 이런 결함의 대부분은 원격 코드 실행으로 이어질 수 있으며, 웜(Worm)을 적용할 수 있기 때문에 컴퓨터 웜을 생성하는데 사용될 수 있다.

오만디는 블로그 게시물을 통해 "시만텍은 필터 드라이버를 이용해 모든 시스템 I/O(입출력 작업)를 가로채기 때문에 피해자에게 이메일로 파일을 송부하거나 링크를 전송해 이를 동작시킬 수 있으며, 피해자는 파일을 열거나 상호작용할 필요가 없다"고 밝혔다.

더욱 놀라운 것은 시만텍이 오픈소스 라이브러리의 코드를 사용했지만 수년 동안 이런 프로젝트에서 공개된 패치를 가져오는데 실패한 것처럼 보인다는 점이다.

예를 들어, 오만디는 시만텍 제품이 2012년 1월에 공개된 오픈소스 unrar 패키지의 4.1.4 버전을 사용하고 있다고 판단했다. 해당 코드의 가장 최신 버전은 5.3.11이다. libmspack이라는 다른 라이브러리에서도 비슷한 상황이 관찰되었다.

오만디는 "이 라이브러리에 있는 수십 개의 공공 취약점이 시만텍에 영향을 끼쳤으며 일부는 공개 익스플로잇(Exploit) 공격을 당한 적이 있다"고 말했다. "우리는 시만텍에 샘플을 보냈으며, 그들은 버전이 뒤쳐져 있음을 확인했다."

자체 프로젝트에 소프트웨어 벤더 및 개발자가 사용하는 제 3자 코드의 취약점 패치를 유지하지 못하는 문제는 매우 보편적이다. 하지만 보안 벤더들이 이런 실수를 하지 않을 것이라는 자연스러운 기대가 존재한다. 어쨌든 보안 업체들은 다른 기업들에게 안전 소프트웨어 개발 및 취약점에 대해 설파하고 있다.

취약점 정보 업체 RBS(risk Based Security)의 CRO(Chief Research Officer) 카슨 아이람은 이메일을 통해 "안타깝게도 시만텍 같은 대형 보안 벤더가 자사 제품에 오래된 코드를 적용하고 해당 코드에 보안 검토 및 시험을 적용하지 않으며, 이 오래되고 안전하지 못한 코드가 SYSTEM/root 권한으로 실행되도록 하는 방식을 보고 있노라면 보안 벤더 자체도 매우 높은 기준을 유지하지 않고 있음을 알 수 있다"고 말했다.

RBS의 데이터에 따르면 올해 보안 제품에서 222개의 취약점이 보고되었으며, 이는 2016년 현재까지 발견된 모든 취약점의 3.4%에 해당한다. 아이람은 "그리 많지 않은 것처럼 들리겠지만 사실 꽤 중요하다"고 말했다.

시만텍은 영향을 받은 제품을 나열하고 업데이트 방법에 대한 설명이 포함되어 있는 보안 자문서를 공개했다. 노턴(Norton)의 모든 (소비자) 제품은 자동으로 업데이트된다. editor@itworld.co.kr
 

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.