보안 / 윈도우

윈도우 10 보안 "뚫기 더 어려워졌다" 암묵적 공감대 형성 : 블랙햇 컨퍼런스

Fahmida Y. Rashid | InfoWorld 2016.08.17
윈도우가 인기 있는 공격 표적인 만큼 보안 연구원과 해커들은 마이크로소프트의 방어를 뚫기 위한 발전된 전략을 캐내기 위해 플랫폼을 계속해서 두드릴 것이다.



보안에 대한 기준은 과거보다 높아졌는데 마이크로소프트는 공격 전반에 걸쳐 첨단의 다양한 최소화 조치를 추가해왔다. 올해 블랙햇 컨퍼런스에서 해커들이 세련된 공격 기법으로 무장하고 나왔지만, 윈도우 10에서 성공적인 기법을 개발하는 게 훨씬 힘들어졌다는 암묵적인 공감대가 형성됐다. 운영체제 취약점을 통해 윈도우에 침투하는 것은 수년 전보다 훨씬 어려워졌다.

내장된 안티악성코드 툴을 사용하라
마이크로소프트는 메모리에서 악성 스크립트를 잡아낼 수 있는 AMSI (antimalware scan interface) 툴을 개발해왔다. 노소시큐어(NoSoSecure)의 침투 테스터이자 어소시에이트 컨설턴트인 니칼 미탈은 블랙햇 강연에서 "모든 애플리케이션이 이를 소환할 수 있고 모든 등록 안티악성코드 엔진도 AMSI에 입력된 콘텐츠를 프로세스할 수 있다"고 말했다.

윈도우 디펜더(Windows Defender)와 AVG는 현재 AMSI를 사용하고 있으며 훨씬 널리 채택되어야 한다. 미탈은 "AMSI는 윈도우의 스크립트-기반 공격에 대한 큰 걸음"이라고 평가했다.
사이버범죄자들은 점점 스크립트-기반 공격에 의존하고 있는데, 특히 캠페인의 일부로 파워셸(PowerShell) 상에서 그렇다. 조직들이 파워셸을 활용해 공격을 발견하는 것이 어려운데, 이들이 적법한 행동에서 차별화하기 힘들기 때문이다.

또한 파워셸 스크립트가 시스템이나 네트워크의 모든 측면을 터치하는데 사용될 수 있기 때문에 복구하기도 어렵다. 사실상 모든 윈도우 시스템에 현재 파워셸이 사전탑재 되어 있기 때문에 스크립트-기반 공격이 훨씬 흔해지고 있다.

범죄자들은 파워셸을 사용하기 시작했고 메모리에 스크립트를 로딩하고 있지만 방어자들이 이를 잡아내는 데는 시간이 걸렸다. 미탈은 "어느 누구도 몇 년 전까지 파워셸을 신경쓰지 않았다"며, "우리 스크립트는 전혀 탐지되지 않는다. 안티바이러스 벤더들은 지난 3년 사이 이를 겨우 받아들였다"고 말했다.

디스크상에 저장된 스크립트를 감지하는 건 쉽지만 메모리에 저장된 스크립트를 실행 중단하는 건 쉽지 않다. 미탈은 "AMSI는 호스트 단계에서 스크립트를 잡아내려고 하는데, 이는 디스크나 메모리에 저장되어있거나 인터랙티브 하게 실행되더라도 인풋 방식은 상관없음을 의미해 '게임 체인저(game changer)'라고 설명했다.

하지만 AMSI는 그 유용성이 다른 보안 방법에 의존하기 때문에 단독적으로는 효과가 없다. 스크립트-기반 공격이 로그 생성없이 실행되는 건 아주 어려워서 윈도우 운영자가 지속적으로 그들이 파워셸 로그를 모니터링하는 게 중요하다.

AMSI는 완벽하지 않다. 난독화된 스크립트 혹은 WMI 네임스페이스, 레지스트리 키, 이벤트 로그 같은 흔치 않은 곳에서 로딩되는 스크립트를 탐지하는 데에는 그리 도움이 되지 않는다. 네트워크 정책 서버 같은 툴인 Powershell.exe을 활용하지 않고 실행된 파워셸 스크립트 역시 AMSI에 도움이 안될 수 있다. 스크립트의 서명 변경, 파워셸 버전 2 활용, AMSI 비활성화 등 AMSI를 우회할 방법들이 존재하지만 미탈은 여전히 AMSI를 '윈도우 운영의 미래'로 여긴다.

액티브 디렉토리를 보호하라
액티브 디렉토리(Active Directory, AD)는 윈도우 운영의 주춧돌이자 조직이 계속 작업부하를 클라우드로 이전해감에 따라 더욱 중요해지고 있다. 더 이상 온-프레미스 내부 기업 네트워크의 인증과 관리를 처리하는데 사용되지 않는 AD는 이제 마이크로소프트 애저에서 인증을 식별하는데 도움을 줄 수 있다.

마이크로소프트 액티브 디렉토리 공인 마스터이자 보안 업체 트리마크(Trimarc)의 창립자 션 메트카프는 블랙햇 참석자들에게 "윈도우 운영자, 보안 종사자, 공격자들 모두 액티브 디렉토리에 각기 다른 관점을 가지고 있다"고 말했다.

운영자들의 초점은 업타임과 쿼리에 대한 AD 응답을 합리적인 창안에서 대응하는데 있다. 보안 종사자들은 도메인 운영자(Domain Admin) 그룹 멤버십을 모니터링하고 소프트웨어 업데이트를 한다. 공격자들은 약점을 찾기 위해 기업의 보안 현황을 살핀다. 메트카프는 "어느 그룹도 완전히 파악하고 있지는 않다"고 밝혔다.

메트카프는 강연 도중 "모든 인증된 사용자들은 AD 내 거의 대부분의 대상과 속성에 대한 접속을 읽어왔다"고 말했다. 표준 이용자 계정이 전체 AD 도메인에 침투할 수 있는데 이는 도메인-링크된 그룹 정책 대상과 조직적 유닛에 대한 권한 수정이 잘못 부여되기 때문이다.

맞춤 조직구성단위(Organizational Unit, OU) 허용을 통해 한 사람이 사용자와 그룹을 높아진 권리 없이도 수정할 수 있고, 아니면 SID 히스토리, AD 이용자 계정 대상 속성을 거쳐 높아진 권한을 얻을 수 있다고 메트카프는 말했다.

만약 액티브 디렉토리가 보호되지 않으면 AD 침투 확률이 더욱 올라간다. 메트카프는 기업이 공통된 실수를 피하는데 도움이 되는 전략을 간추렸는데 이는 운영자 크레덴셜 보호와 핵심 자원 고립으로 끝난다. 소프트웨어 업데이트를 항상 신경써야 하는데 특히 권한-상승 취약점을 해결하는 패치와 공격자가 평행으로 이동하는 것을 더 어렵게 만들기 위해 망분리를 해야 한다.

보안 종사자들은 AD에 대한 운영권한, 가상 도메인 컨트롤러를 호스팅하는 가상 환경에 대한 운영권을 누가 가지고 있는지, 그리고 누가 도메인 컨트롤러에 로그인할 수 있는지 식별해야 한다. 액티브 디렉토리 도메인, AdminSDHolder 대상, 부적절한 맞춤 권한에 대한 GPO(group policy objects)를 스캔하고 도메인 운영자(AD 운영자)가 민감한 크레덴셜을 가진 워크스테이션 같이 신뢰되지 않는 시스템에 절대 로그인하지 못하게 해야 한다. 서비스 계정 권한 역시 제한되어야 한다. 메트카프는 "AD 보안 권한을 얻으면 많은 일반적인 공격이 최소화되거나 효과가 줄어든다고 말했다.

공격 억제를 위한 가상화
마이크로소프트는 하이퍼바이저에 내재된 보안 기능 세트인 가상화 기반의 보안(virtualization-based security, VBS)를 윈도우 10에 도입했다. 브로미움(Bromium)의 최고 보안 아키텍트 라팔 우추크는 "VBS의 공격 측면은 다른 가상화 이행과 다르다"며 "제한된 공간에도 불구하고 VBS는 유용하며 VBS가 없으면 직선화되는 특정 공격을 방지한다"고 말했다.

하이퍼-V는 루트 파티션에 제어권이 있고 추가 제약을 이행하고 보안 서비스를 제공할 수 있다. VBS가 활성화되면 하이퍼-V는 높은 신뢰 수준의 특수 가상 기계를 생성해 보안 명령을 수행한다. 다른 VM들과 달리 이 특수 머신은 루트 파티션으로부터 보호된다.

윈도우 10은 이용자-모드 바이너리와 스크립트의 코드 무결성을 강제할 수 있고, VBS는 커널-모드 코드를 처리한다. VBS는 어떠한 서명이 없는 코드가 커널 컨텍스트 내에서 허용되지 않도록 설계되었는데 커널이 침투되더라도 그렇다.

특수 가상머신 안에서 구동되는 신뢰되는 코드는 루트 파티션의 EPT(extenede page tables)에 실행 권한을 서명된 코드가 저장된 페이지에 부여한다. 이 페이지가 동시에 쓰기와 실행이 불가능하기 때문에 악성코드는 이런 방식으로 커널 모드에 들어갈 수 없다.

전체 컨셉이 만약 루트 파티션이 침투당했다 하더라도 계속 돌아가기 위한 능력에 달려있기 때문에 공격자가 트로이 하이퍼바이저를 로드하기 위해 안전 부팅(Secure Boot)를 우회하는 식으로 루트 파티션에 이미 침투해 들어간 공격자의 시각에서 VPS를 검사했다.
우추크는 "VBS의 보안 현황은 좋아 보이고, 이는 시스템의 보안을 향상시킨다. 특히 이는 분명 우회를 가능케 하는 적합한 취약점을 찾기 위한 상당히 중대한 추가적 노력을 필요로 한다"고 전했다.

기존 문서는 안전 부팅이 필수적이고 VTd와 TPM(Trusted Platform Module)이 VBS 활성화에 선택적이라 이야기하지만 그렇지 않다. 운영자는 침투된 루트 파티션에 대항해 하이퍼바이저를 보호하기 위해 VTd와 TPM 모두를 필요로 한다. 단순히 크레덴셜 가드(Credential Guard)를 활성화 하는 것만으로는 VBS에 부족하다. 크레덴셜이 루트 파티션에 깨끗하게 나오지 않도록 추가 구성이 필수다.

마이크로소프트는 VBS를 최대한 안전하게 만들기 위해 많은 노력을 기울여왔지만, 특이한 공격면은 여전히 우려를 자아내고 있다고 우추크는 말했다.

윈도우 10, 보안 기준이 더 높아졌다
사이버범죄자, 연구원, 뭘 할 수 있는지 알고 싶은 해커를 포함한 침투자들은 마이크로소프트와 상당히 밀접하게 연관되어 있다.

침투자가 윈도우 방어를 우회하기 위한 방법을 알아낼 때마다 마이크로소프트가 그 보안 구멍을 막는다. 해킹을 더 어렵게 하기 위해 혁신적인 보안 기술을 이행함으로써 마이크로소프트는 침투자들을 더욱 수고스럽게 만든다.

윈도우 10은 이런 신기능 덕분에 역대 가장 안전한 윈도우다. 범죄자들은 계속 분주하고 머리아픈 악성코드는 줄어들 기미가 보이지 않지만, 요즘 대부분의 공격이 패치되지 않은 소프트웨어, 소셜 엔지니어링, 잘못된 설정 때문이라는 점을 명심할만 하다.

어떤 소프트웨어 애플리케이션도 완벽히 버그에서 자유로울 수는 없지만, 내장된 방어가 기존 취약점을 공략하기 더 어렵게 만들수 있다면 이는 방어자들의 승리다. 지난 수년 간 마이크로소프트는 운영체제에 대한 공격을 막기 위해 수많은 일을 해왔고 윈도우 10은 이런 변화들의 직접적 수혜자다.

마이크로소프트가 윈도우 10 기념 업데이트(Anniversary Update)에서 격리(isolation) 기술을 확충했음을 고려할 때 현대적인 윈도우 시스템에 성공적으로 침투하기가 더 어려워진 것으로 보인다. editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.