미국 CISA(Cybersecurity and Infrastructure Security Agency)는 마이크로소프트 윈도우 코덱 라이브러리(Microsoft Windows Codecs Library)에 메모리에 저장된 오브젝트 처리에 영향을 주는 취약점이 포함되어 있다고 경고했다. 특히, 특별히 설계된 이미지 파일이 패치되지 않은 PC를 원격으로 탈취하는 데 사용될 수 있다고 지적했다.
PC를 대상으로 하는 대부분의 공격은 로컬 액세스 혹은 실제로 컴퓨터 앞에 공격자가 앉아야 한다. 하지만 CISA가 우려하는 부분은 PC를 탈취하도록 설계된 HEVC 파일이다. 이론상의 문제만이 아니다. 실제로 iOS 11 이후 버전이 설치된 아이폰에서 촬영된 영상은 HEVC를 사용하기 때문에, 이메일이나 인터넷으로 HEVC 비디오가 첨부되더라도 의심하지 않을 가능성이 크다.
아이폰 사용자가 아니라면 위험을 피할 수 있다. 마이크로소프트 스토어에서 별도로 “장치제조업체의 HEVC Video Extensions’을 다운로드 해야 취약점에 노출되기 때문이다.
아이폰-윈도우 PC 사용자는 스토어에서 업데이트된 코덱을 다운로드해야 한다. 패치된 버전은 1.0.32762.0, 1.0.32763.0 혹은 이후 버전이다. 업데이트된 버전이 설치되어 있는지 확인하려면, 윈도우 10 설정 메뉴로 이동해서 ‘앱 및 기능’으로 이동해서 HEVC를 검색한 다음 ‘고급 옵션’을 클릭해 그 속의 숫자를 확인하면 된다. 아니면 윈도우 파워셸(PowerShell)에서 다음의 명령어를 타이핑해도 된다.
Get-AppxPackage -Name Microsoft.HEVCVideoExtension*
CISA는 또한 비주얼 스튜디오(Visual Studio)에 적용되는 취약점도 경고했다. 비주얼 스튜디오는 일반적으로 개발자에게만 적용되지만, 해당 프로그램의 사용자인 경우 마이크로소프트가 패치하기 전까지는 JSON 파일에 주의해야 한다. editor@itworld.co.kr