탐지되지 않은 채 오랫동안 타깃 컴퓨터 감시할 수 있어
[보안뉴스 오다인 기자] 보안 업체 사이버아크(CyberArk)가 인텔(Intel) 칩셋의 MPX(Memory Protection Extension) 기술을 익스플로잇해서 윈도우 10 시스템에서 정보를 빼내고 해당 시스템에서 탐지되지 않은 채 머무를 수 있는 기술을 개발하고 시연했다.
[이미지=iclickart]
사이버아크는 이 기술을 ‘바운드훅(BoundHook)’이라고 명명했다. 바운드훅은 사이버아크가 올해 초 선보인 고스트훅(GhostHook) 기술과 유사하며, 익스플로잇 이후 사용할 수 있는 기술이다. 즉, 바운드훅을 사용하려면 윈도우 10 시스템에 이미 특권적인 접근을 확보한 상태여야 한다.
이런 이유로 마이크로소프트는 바운드훅을 보안 패치가 적용돼야 할 취약점으로 분류하지 않았다. 마이크로소프트는 성명서에서 다음과 같이 말했다. “마케팅 보고서에서 기술된 이 기술은 보안 취약점이라고 볼 수 없고 사용되기 위해선 기기가 이미 침해된 상태여야 한다. 최고의 보안 방법으로 우리는 고객에게 시스템을 항상 업데이트 할 것을 권고한다.”
2015년 인텔의 스카이레이크(Skylake) 라인으로 도입된 MPX 기술은 애플리케이션을 버퍼 오버플로우, 아웃 오브 바운드 액세스, 기타 메모리 에러 및 공격에 대응해 보호하려는 목적에서 설계됐다. 윈도우 10 시스템에서 작동하는 애플리케이션은 이 기능을 버퍼 오퍼블로우 공격에 대응한 보호 장치로 사용하고 있다.
사이버아크의 바운드훅 기술은 MPX의 바운더리 체크 명령을 사용해 시스템 프로세스를 낚아채고 그 활동을 본질적으로 바꿔놓는다. 사이버아크의 수석 보안 연구원 도론 나임(Doron Naim)은 “바운드훅 기술을 사용하면 타인의 프로세스에 자신의 코드를 작동시킬 수 있는 데다 그 프로세스 내에 어떤 흔적도 남기지 않은 채 정상적인 활동을 바꿀 수 있다”고 말한다.
나임에 따르면, 후킹(Hooking)은 시스템 운영체제 또는 애플리케이션 소프트웨어 내 특정 기능의 활동을 중간에서 바꾸는 것을 말한다. 나임은 키 입력 기능을 예로 설명했다. “공격자가 이 기능을 후킹할 수 있다면 키스트로크(keystroke)를 염탐하고 훔칠 수 있다는 뜻입니다.”
나임은 후킹을 하기 위해서는 대개 타깃 프로세스 내에 후킹 코드를 작성해야 한다고 설명했다. 바운드훅을 사용했을 때 이 코드는 후킹 자체를 실행하기 위해서가 아니라 프로세스 내 경계 예외 에러(boundary exception error) 같은 에러를 일으키기 위해 사용된다. 에러를 일으키고 난 뒤에는 스레드(Thread) 실행에 있어 완전한 제어를 얻을 수 있다. “스레드 실행을 제어할 수 있다면, 타깃 프로세스 명의로 그 어떤 공격도 가능해집니다. 예컨대, Word.exe를 사용한다면 이 프로세스를 통해 크리덴셜을 훔칠 수 있고 인터넷으로 정보를 보낼 수도 있습니다.” 사이버아크에 따르면, 백신 툴 대부분은 바운드훅을 통해 실행되는 악성 활동을 탐지할 수 없다.
마이크로소프트가 바운드훅을 일전에 고스트훅처럼 무시한 것과는 다르게, 나임은 바운드훅이 실질적인 위협을 가하고 있다고 주장했다. “가장 먼저 주목해야 할 건 이 기술이 정부 지원을 받는 공격자들이나 자금이 탄탄한 범죄 조직에 의해 사용될 가능성이 높다는 점입니다. 지속적으로 침입할 방법을 찾는 공격자들이죠.”
나임은 지금의 위협 환경에서 엔드포인트 시스템의 관리자 특권을 얻는 것은 초보 공격자도 할 수 있는 일이라고 말한다. 관리자들이라면 이런 사실을 알고 있어야 한다는 것이다. 대부분의 경우, 누군가를 피싱 사기에 빠뜨리는 데는 악성 링크 하나를 클릭하게 만드는 것 말고 별다른 조치가 필요하지 않다.
사이버아크의 바운드훅 같은 기술이 중요한 이유는 공격자가 타깃 네트워크에 오래 머무르기 위해서 어떤 방법을 사용하는지 보여주기 때문이다. 나임은 “최초의 감염 지점을 확보한 이후 공격자 자신의 모습을 감추기 위해 믿기 어려울 만큼 강력한 기술을 구사한다”며 “이런 기술로 백도어를 만들거나 사실상 스텔스(stealth) 모드로 공격을 계획할 수 있다”고 경고했다.
[국제부 오다인 기자(boan2@boannews.com)]
Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>