지속 공격 원하는 자들에게는 안성맞춤 백도어...차라리 안 쓰는 게 나을 수도
[보안뉴스 문가용 기자] 윈도우를 노리는 공격자들은 주로 도메인 관리자 권한을 가져가려고 노력한다. 그런데, 보안 전문가들에 따르면, 공격자들이 관리자 권한을 가져가는 데 성공하고 나면, 윈도우 내에 탑재되어 있는 ‘보안 질문들’ 덕분에 꽤나 단단하게 권한을 유지할 수 있게 된다고 한다.
[이미지 = iclickart]
이러한 연구 결과는 이번 주 열리고 있는 블랙햇 유럽(Black Hat Europe)에서 발표됐다. 보안 업체 일루시브 네트웍스(Illusive Networks)가 공개한 내용으로, 현장에서 윈도우 보안 질문들을 활용하는 것이 최근 해커들이 발견한 ‘공격 지속성’ 기법이라고 소개했다. “MS가 보안 질문이라는 기능을 지난 4월 추가한 것은 당연히 좋은 의도에서였습니다. 하지만 이 때문에 공격 지속성을 높여주는 결과가 나타나고 있습니다.”
윈도우 10 관리자들은 지난 4월부터 윈도우 10 계정에 한 가지 보안 장치를 추가할 수 있게 됐다. ‘질문들’이었다. 일루시브 네트웍스의 보안 분석 수석인 톰 셀라(Tom Sela)는 “마이크로소프트는 윈도우 10에 다양한 보안 기능을 추가하고자 부지런히 움직이고 있었다”고 당시 상황을 설명한다. “하지만 보안 질문들은 편의성과 보안성 사이의 균형을 굉장히 미묘하게 맞춰야만 하는 도구이기도 했습니다. 질문에 답하는 건 편의성을 해치는 일이니 아마도 MS는 조만간 편의성에 초점을 맞춘 새 기능을 발표하지 않을까 싶습니다.”
일루시브의 보안 연구원인 마갈 바즈(Magal Baz)는 반대의 의견이다. “질문은 오히려 편의성에 초점을 맞춘 기능이라고 봅니다. 편리하게 보안을 꾀할 수 있는 기능이기 때문입니다. 만약 윈도우 로그인 비밀번호를 잊어버리면 어떻게 합니까? OS를 다시 설치해야 하죠. 하지만 질문들이 있기 때문에 사용자는 그러한 불편 없이 로그인을 할 수 있게 됩니다.”
그러면서 바즈는 “그렇기 때문에 보안성의 측면에서 질문들을 보면 불완전하다”고 설명을 이어갔다. “질문과 답이 비밀번호와 같은 힘을 가졌다는 건, 얼른 생각했을 때 보안 장치가 두 배로 늘었다는 결론으로 이어질 수도 있습니다. 하지만 질문에 대한 답변이 비밀번호만큼 길지 않다는 게 함정이죠. 심지어 그 질문들과 답변에는 만료일도 없어요. 비밀번호를 안 바꾸는 사람들이 질문과 답변을 주기적으로 바꿔줄 리도 없고요. 비밀번호와 같은 권한을 가졌지만 훨씬 불안정한 상태로 관리 혹은 저장되어 있다는 겁니다.”
바즈는 보안 질문이 가진 한계성이 더 있다고 말했다. 그건 바로 소셜 미디어다. “요즘 해커들은 자신이 노리는 표적에 대한 정보를 소셜 미디어에서 캐냅니다. 자신이 소셜 미디어에서 써내는 정보는 민감하기도 하지만, 감독도 되지 않는 영역입니다. 윈도우 10의 질문과 답변들도 감독되지 않는다는 건 마찬가지고요. 사실 페이스북과 구글에도 보안 질문 옵션이 있었지만 사라졌죠. 다 이유가 있습니다.”
그렇다면 공격자들은 이 질문과 답변을 어떤 식으로 공략해 사용하는 걸까? 그 설명을 하기 전에 먼저 염두에 두어야 할 것이 있다. 최근 공격자들은 도메인에 대한 1회성 접근 권한만이 아니라, 지속적으로 접근할 수 있게 해주는 방법들을 연구해오고 있는 상황이라는 것이다. 그런 연구를 통해 ‘도메인 관리자’ 권한을 취득하는 게 그리 어려운 일이 아니게 되어버렸다. “2년 전만 해도 관리자 권한을 얻어내려면 수개월이 걸린다는 게 해커들 사이의 일반적인 인식이었는데 말입니다. 현재는 수 시간으로 줄어든 상태입니다.”
원격 관리자 권한 탈취가 크게 쉬워진 공격자에게 필요한 건 지속적 공격을 위한 백도어다. 보안 질문과 답변이 백도어의 역할을 할 수 있어야 한다. “그러려면 보안 질문과 답변을 편집해야 하고, 그러려면 먼저 원격에서 이 질문들에 접근할 수 있어야 합니다. 그것도 공격 대상이 된 기기에서 그 어떤 코드도 실행하지 않고서 말입니다. 코드가 실행되면 알람이 울릴 수 있기 때문입니다. 공격자가 질문들을 공략하는 목표가 공격의 ‘지속성’이기 때문에 최대한 조용히 움직여야 합니다.”
그래서 공격자들이 가장 먼저 손대기 시작하는 건 디폴트로 미리 설치된 질문과 답변들이다. 이 내용들은 LSA 시크리츠(LSA Secrets) 형태로 저장되는데, 여기에는 윈도우의 비밀번호 등 매일 운영에 필요한 민감한 정보들도 저장되어 있다. 공격자가 관리자 권한을 가져간 상태라면 이 LSA 시크리츠에도 당연히 접근과 편집이 가능하다. 이점을 노린 공격자가 자신만의 고유한 질문과 답변을 등록하면, 나중에 비밀번호가 바뀌더라도 해당 시스템에 마음대로 드나들 수 있게 된다.
공격자는 원격에서도 이 기능을 사용할 수 있다고 바즈는 강조했다. “본래 사용자 몰래 보안 질문과 답변을 마음대로 바꾸는 데 성공했다면, 공격자들은 대단히 많은 것을 할 수 있게 됩니다. 비밀번호는 만료일이라도 있지, 보안 질문과 답변은 그런 것도 없고, 심지어 사용자들이 관리하지도 않습니다. 어지간해서는 시스템에 오랫동안 남아있는 ‘친환경적’ 백도어가 만들어지는 겁니다.” 심지어 질문과 답변을 바꿀 필요도 없다. 사용자의 것을 그대로 외우기만 해도(사용자가 질문과 답변을 바꾸는 예는 극히 드물므로) 백도어는 완성된다.
“보안 질문과 답변에 관한 정보는 제대로 보호되어 있지 않습니다. 심지어 이런 기능이 있다는 걸 모르는 보안 담당자들도 많은 걸로 알고 있습니다. 실제로 그런 사람을 보기도 했고요. 누군가 이미 당신의 윈도우 10 장비에 자유자재로 접근하고 있을 수도 있습니다.” 셀라의 설명이다. “게다가 감사 대상도 아니죠.”
바즈와 셀라는 “위험성을 완화하기 위해서 제일 먼저 실천해야 할 건 관리자 계정 자체를 최소화하는 것”이라고 말했다. 또한 “보안 질문 기능을 사용하지 않는 것도 나쁘지 않은 방법”이라고도 말했다.
바즈와 셀라는 이 문제를 완화시키기 위한 도구를 개발하기도 했다. 보안 질문 기능을 비활성화 시키거나 제어할 수 있게 해주는 기능을 가졌다. 이 툴은 둘의 강연을 기점으로 오픈소스로 풀렸다. 다음 깃허브 계정(https://github.com/IllusiveNetworks-Labs)을 통해 이 무료 툴의 열람이 가능해질 것으로 알려져 있다.
3줄 요약
1. 4월부터 도입된 윈도우 10의 새 보안 기능, ‘질문들.’
2. 비밀번호와 같은 강력함. 하지만 비밀번호와 비할 수 없는 허술함.
3. 질문과 답변 알아낸 공격자들은 조용하고 효과적인 백도어 설치한 것.
[국제부 문가용 기자(globoan@boannews.com)]
Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>