윈도우 OS의 기본 구성 요소인 아톰 테이블 공격하는 기법
검증 안 된 신기술 마구 도입하는 현재 소비 체제 자체에 경종 울려야
[보안뉴스 문가용 기자] 데이터 보호 전문업체인 엔실로(enSilo)가 윈도우 시스템에 악성 코드를 주입하는 방법을 발견했다. 이 방법은 현존하는 안티멀웨어 솔루션으로는 감지 및 탐지가 불가능하다고 한다.
엔실로는 이 방법을 아톰바밍(AtomBombing), 즉 ‘원자폭탄 투하’라고 부르는데, 이는 그 어마어마한 파괴력이나 살상력을 두고 한 말이라기보다 윈도우라는 운영 시스템 기저에 있는 아톰 테이블(atom table)이란 메커니즘 자체를 공격하는 것이라서 그렇다. 그러므로 이는 패치로 해결하기도 어렵다고 엔실로는 설명한다.
코드 주입 공격법이란 사이버 범죄자들이 자주 사용하는 것으로 정상적인 애플리케이션이나 프로세스에 악성 코드를 집어넣어 실행되도록 유도하는 것이다. 오픈 웹 애플리케이션 보안 프로젝트(OWASP)는 코드 주입 공격이 애플리케이션이나 프로세스가 입력되는 데이터와 출력되는 데이터를 제대로 확인 및 검증하지 않는 취약점 때문에 가능하게 된다고 설명한다.
리버만은 “코드 주입 공격을 함으로써 프로세스 단계의 여러 가지 보안장치를 피해갈 수 있고, 암호화된 암호에 접근하거나 중간자 공격을 감행할 수 있게 된다”고 말한다.
엔실로의 아톰바밍 역시 이런 커다란 틀에서의 개념은 비슷하다. 다만 애플리케이션이나 프 로세스에 악성 코드를 주입하는 것이 아니라 모든 윈도우 버전에 다 존재하는 아톰 테이블에 주입하는 게 다르다. 아톰 테이블은 애플리케이션들이 실행되는 중에 특정 데이터를 문자열과 식별자 형태로 저장, 공유, 접근이 가능하도록 돕는 기능을 수행한다.
엔실로의 연구원들은 아톰 테이블에 악성 코드를 주입해놓고, 애플리케이션들이 아톰 테이블로부터 데이터를 회수해 실행하도록 강제하는 데에 성공했다. 아톰 테이블을 활용한 악성 코드 주입 공격이 성공한 것은 이것이 처음이다.
“엄밀히 말하면 아톰 테이블 자체에 악성 코드를 주입하는 건 아닙니다. 아톰 테이블을 활용한 프로세스를 표적 삼는 것이죠. 목표로 한 프로세스에 코드를 성공적으로 주입하면 공격자들은 원하는 행위를 할 수 있게 되는 것이죠. 물론 사용자가 보기에는 자기가 보통 실행하는 애플리케이션이 정상 작동하는 것일 뿐이고요.”
아톰 테이블 시스템을 가지고 있는 가장 오래된 윈도우 버전은 윈도우 2000이다. 즉 2000년 이후에 나온 윈도우들은 죄다 이 문제에서 자유롭지 못하다는 것이다. “윈도우 2000 이상의 운영체제가 설치된 컴퓨터에 접근이 가능해지면 접속한 계정과 같은 권한을 가진 모든 프로세스에 코드를 주입하는 게 가능해집니다. 하지만 권한 자체를 상승시키진 못해요. 즉, 관리자급 권한을 가진 계정으로부터 할 수 있는 공격을 비관리자 계정으로부터 할 수는 없다는 뜻입니다.”
아톰바밍을 할 줄 알면 다양한 공격이 가능해진다. 공격자가 인터넷 익스플로러의 explorer.exe에 아톰바밍을 활용해 악성 코드를 주입한 후 스크린샷을 확보하는 게 가능해진다. 혹은 chrome.exe에 아톰바밍을 활용한 악성 코드 주입에 성공한 후, 암호를 훔치는 것도 가능해진다. “이는 MS 제품의 취약점에 의존한 공격이 아닙니다. 그래서 고치기가 불가능하죠. 그게 진짜 문제입니다. 윈도우의 기본적인 구성 요소 자체를 건드리는 것이라는 것 말이죠.”
또 다른 보안 전문업체인 베라코드(Veracode)의 부회장 크리스 엥(Chris Eng)은 “아무리 설계가 잘 된 디자인이라도 결국 개발자나 사용자가 전혀 의도치 않은 행위를 하는 데에 악용될 수 있다는 오래된 보안의 우려가 증명되었다”고 말한다. “새로운 기술이 계속해서 등장하고 있습니다만, 충분한 검증을 거치지 않았을 때 얼마나 위험할 수 있는가를 다시 생각해보아야 합니다. 신기술 하나에 온 세상이 들썩이고 시장에 나오자마자 매진되는 ‘흥분’에 근거한 발전양상은 안전과는 거리가 멉니다.”
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
검증 안 된 신기술 마구 도입하는 현재 소비 체제 자체에 경종 울려야
[보안뉴스 문가용 기자] 데이터 보호 전문업체인 엔실로(enSilo)가 윈도우 시스템에 악성 코드를 주입하는 방법을 발견했다. 이 방법은 현존하는 안티멀웨어 솔루션으로는 감지 및 탐지가 불가능하다고 한다.
엔실로는 이 방법을 아톰바밍(AtomBombing), 즉 ‘원자폭탄 투하’라고 부르는데, 이는 그 어마어마한 파괴력이나 살상력을 두고 한 말이라기보다 윈도우라는 운영 시스템 기저에 있는 아톰 테이블(atom table)이란 메커니즘 자체를 공격하는 것이라서 그렇다. 그러므로 이는 패치로 해결하기도 어렵다고 엔실로는 설명한다.
코드 주입 공격법이란 사이버 범죄자들이 자주 사용하는 것으로 정상적인 애플리케이션이나 프로세스에 악성 코드를 집어넣어 실행되도록 유도하는 것이다. 오픈 웹 애플리케이션 보안 프로젝트(OWASP)는 코드 주입 공격이 애플리케이션이나 프로세스가 입력되는 데이터와 출력되는 데이터를 제대로 확인 및 검증하지 않는 취약점 때문에 가능하게 된다고 설명한다.
리버만은 “코드 주입 공격을 함으로써 프로세스 단계의 여러 가지 보안장치를 피해갈 수 있고, 암호화된 암호에 접근하거나 중간자 공격을 감행할 수 있게 된다”고 말한다.
엔실로의 아톰바밍 역시 이런 커다란 틀에서의 개념은 비슷하다. 다만 애플리케이션이나 프 로세스에 악성 코드를 주입하는 것이 아니라 모든 윈도우 버전에 다 존재하는 아톰 테이블에 주입하는 게 다르다. 아톰 테이블은 애플리케이션들이 실행되는 중에 특정 데이터를 문자열과 식별자 형태로 저장, 공유, 접근이 가능하도록 돕는 기능을 수행한다.
엔실로의 연구원들은 아톰 테이블에 악성 코드를 주입해놓고, 애플리케이션들이 아톰 테이블로부터 데이터를 회수해 실행하도록 강제하는 데에 성공했다. 아톰 테이블을 활용한 악성 코드 주입 공격이 성공한 것은 이것이 처음이다.
“엄밀히 말하면 아톰 테이블 자체에 악성 코드를 주입하는 건 아닙니다. 아톰 테이블을 활용한 프로세스를 표적 삼는 것이죠. 목표로 한 프로세스에 코드를 성공적으로 주입하면 공격자들은 원하는 행위를 할 수 있게 되는 것이죠. 물론 사용자가 보기에는 자기가 보통 실행하는 애플리케이션이 정상 작동하는 것일 뿐이고요.”
아톰 테이블 시스템을 가지고 있는 가장 오래된 윈도우 버전은 윈도우 2000이다. 즉 2000년 이후에 나온 윈도우들은 죄다 이 문제에서 자유롭지 못하다는 것이다. “윈도우 2000 이상의 운영체제가 설치된 컴퓨터에 접근이 가능해지면 접속한 계정과 같은 권한을 가진 모든 프로세스에 코드를 주입하는 게 가능해집니다. 하지만 권한 자체를 상승시키진 못해요. 즉, 관리자급 권한을 가진 계정으로부터 할 수 있는 공격을 비관리자 계정으로부터 할 수는 없다는 뜻입니다.”
아톰바밍을 할 줄 알면 다양한 공격이 가능해진다. 공격자가 인터넷 익스플로러의 explorer.exe에 아톰바밍을 활용해 악성 코드를 주입한 후 스크린샷을 확보하는 게 가능해진다. 혹은 chrome.exe에 아톰바밍을 활용한 악성 코드 주입에 성공한 후, 암호를 훔치는 것도 가능해진다. “이는 MS 제품의 취약점에 의존한 공격이 아닙니다. 그래서 고치기가 불가능하죠. 그게 진짜 문제입니다. 윈도우의 기본적인 구성 요소 자체를 건드리는 것이라는 것 말이죠.”
또 다른 보안 전문업체인 베라코드(Veracode)의 부회장 크리스 엥(Chris Eng)은 “아무리 설계가 잘 된 디자인이라도 결국 개발자나 사용자가 전혀 의도치 않은 행위를 하는 데에 악용될 수 있다는 오래된 보안의 우려가 증명되었다”고 말한다. “새로운 기술이 계속해서 등장하고 있습니다만, 충분한 검증을 거치지 않았을 때 얼마나 위험할 수 있는가를 다시 생각해보아야 합니다. 신기술 하나에 온 세상이 들썩이고 시장에 나오자마자 매진되는 ‘흥분’에 근거한 발전양상은 안전과는 거리가 멉니다.”
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
