보안

마이크로소프트, 플레임에 악용된 디지털 인증 다수 폐기

Gregg Keizer | Computerworld 2012.06.05
지난 일요일 마이크로소프트는 자사의 디지털 인증 여러 건을 폐기했다. 한창 문제가 되고 있는 플레임의 제작자들이 이들 디지털 서명을 악성 프로그램을 배포에 악용하는 방법을 알아낸 것으로 파악됐기 때문이다.
 
지난 주말 모든 버전의 윈도우용으로 나온 긴급 업데이트는 매우 이례적인 것으로, 사안의 심각성을 잘 보여주는 것이었다. 이번 업데이트에는 나온 지 얼마 되지 않은 윈도우 8 릴리즈 프리뷰용도 포함되어 있었다.
 
엔서클 시큐리티의 보안 운영 이사인 앤드류 스톰은 “이건 대단한 일이다”라고 평가했다. 마이크로소프트의 터미널 서비스 라이선스 인증은 보통 기업들이 원격 데스크톱 서비스나 세션을 승인하는 용도로 사용하는데, 여기에 결함이 있다는 것은 공격자들이 플레임의 코드를 인증하는 데 사용할 수 있는 디지털 인증을 생성할 수 있다는 의미이기 때문이다.
 
플레임은 스턱스넷보다 20~40배나 큰 대규모 스파이 툴로, 네트워크에 침입해 디지털 환경을 정찰하고는 다양한 모듈을 사용해 정보를 훔쳐낸다. 플레임은 원래 이란을 대상으로 알려졌는데 감염된 시스템의 대다수가 이란 지역에서 발견됐기 때문이다. 
 
스톰은 “플레임은 유효하지만 가짜인 마이크로소프트 인증을 사용해 터미널 서비스를 통해 인증 시스템의 취약점으로 악성 코드를 승인해 준다”며, “따라서 악성 코드가 유효한 것으로 표시되면, 이는 정상적인 절차를 통해 루트 서버에 연결되고, 사용해도 좋은 코드로 받아들여진다”고 설명했다.
 
이후에는 플레임의 요소들은 무슨 짓을 해도 무해한 것으로 나타나는데, 마이크로소프트 자체가 이를 인증해 줬기 때문이다.
 
마이크로소프트는 인증서 세 건을 폐기함으로써 이 취약점을 해결했으며, 이들 인증을 폐기 목록에 추가하는 업데이트를 발표한 것이다. 심지어 윈도우 8의 경우도 컨슈머 프리뷰와 지난 주 발표된 릴리즈 프리뷰 모두 영향을 받기 때문에 업데이트가 필요하다.
 
마이크로소프트는 또한 해커들이 패치되지 않은 PC 상의 인증서를 훔쳐보는 짓을 다시 하지 못하도록 터미널 서비스 라이선스 서비스도 수정해다. 마이크로소프트는 플레임의 어떤 모듈이 가짜 인증서로 서명이 되었는지는 밝히지 않았다.  editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.