윈도 보안 힘 못쓰는 코드인젝션 공격기법 발견

주된 사이버 보안 위협 유형인 '코드인젝션(code injection)' 공격을 수행할 수 있는 새로운 방법이 발견됐다. 모든 윈도 사용자들이 이 방법을 통한 코드인젝션 공격에 노출된 상태다. 운영체제(OS) 보안취약점이나 프로그램의 코드 결함을 이용하지 않기 때문에 패치를 적용할 수 없다고 한다.

미국 지디넷은 27일(현지시각) 모든 윈도 버전을 사이버공격에 노출시킬 새로운 코드인젝션 공격 방법이 등장했으며 이를 고칠 수 없다는 점이 상황을 더 나쁘게 만들고 있다고 보도했다.

이날 보안업체 엔사일로(enSilo) 연구팀은 모든 윈도 버전에서 유해소프트웨어 감염으로부터 시스템을 보호하는 현존 모든 보안 솔루션을 우회할 수 있는 '아톰보밍(AtomBombing)'이라 명명한 공격 기법을 소개했다.

http://zdnet4.cbsistatic.com/hub/i/r/2016/10/27/96017d44-d3d1-401b-8f01-84a96fc2977a/resize/770xauto/5163b56d16d8108fb17af7ea61f54329/new-locker-crypto-repents-imagecredsymantec.jpg

[☞참조링크: New code injection method exposes all versions of Windows to cyberattack]

[☞참조링크: AtomBombing: A Code Injection that Bypasses Current Security Solutions]

아톰보밍은 윈도의 '아톰테이블(atom table)'이라 불리는 데이터 저장 영역의 취약점을 공격하는 기법이다. 아톰테이블은 윈도 애플리케이션 기능을 지원하기 위한 문자열(strings)과 식별자(identifiers)를 저장한다.

엔사일로 연구팀은 아톰테이블 내부에 악성코드를 작성하고 정상적인(legitimate) 프로그램이 해당 코드를 가져오도록 만들면, 보안 소프트웨어는 이런 기법을 사용한 공격을 알아차리지 못할 것이라고 밝혔다. 또한 악성코드를 가져오는 데 동원되는 정상적인 프로그램은 해로운 기능을 실행하도록 제어될 수 있다고 지적했다. 연구팀의 설명을 일부 인용하면 다음과 같다.

"예를 들어 공격자가 사용자로하여금 evil.exe라는 악성 실행파일을 구동케 유도했다 치자. 컴퓨터에 설치된 어떤 종류의 애플리케이션 수준 방화벽도 이 실행파일의 커뮤니케이션을 차단할 수 있다. 이를 넘어서기 위해 evil.exe 파일은 정상적인 프로그램을 제어할 방법을 찾아야 하는데, 이를테면 웹브라우저같은, 이런 정상 프로그램은 evil.exe 파일을 대신해 커뮤니케이션을 수행하게 된다."

만일 공격자가 아톰보밍 기법을 사용할 경우 이들은 보안 제품의 방어 기능을 우회하고, 민감한 정보를 파헤치고, 스크린샷을 찍어 가고, 암호화된 비밀번호에 접근할 수 있게 된다.

암호화된 비밀번호에 접근하는 것은 구글 크롬 브라우저같은 프로그램이 암호화된 비밀번호를 윈도의 데이터보호API(DPAPI)를 사용하기 때문에 가능하다는 설명이다. 만일 유해 소프트웨어가 사용자 환경에서 실행되는 프로세스에 주입될 경우, 이 비밀번호는 암호화가 풀린 평문으로 노출될 수 있다. DPAPI 기능 자체가 비밀번호같은 사용자 데이터를 암호화 및 복호화하는 것이기 때문이다.

이미 알려졌거나 수행된 바 있는 여러 코드인젝션 기법은 안티바이러스 소프트웨어 개발업체들이 그들의 시그니처를 업데이트하는 활동으로 차단됐다. 하지만 엔사일로가 찾아낸 새로운 기법의 경우 현존하는 안티바이러스 소프트웨어의 탐지 기능을 우회한다. 백신프로그램뿐아니라 모든 엔드포인트 침입 방어 솔루션에 해당하는 얘기다.

아톰보밍은 윈도의 보안 취약점이나 익스플로잇을 실행하는 코드상의 결함에 의존하는 게 아니라 윈도 시스템의 메커니즘을 이용하기 때문에 이를 해결할 수 있는 패치가 존재하지 않는다. 엔사일로 연구팀에 따르면 이 공격으로부터 안전할 수 있는 유일한 방법은 앞서 언급된 API를 면밀히 살피면서 수상한 변화가 있는지 감시하는 툴을 사용하는 것뿐이다. 엔사일로 보안연구팀 책임자 탈 리버만의 설명이다.