맬웨어 숨기는 윈도우 레지스트리「위험천만」

보안 전문가들은 해커들이 아주 긴 레지스트리 키를 사용해 윈도우 PC에 악성 소프트웨어를 숨겨둘 수 있다고 경고한다. 이들 키는 PC 설정을 저장하는 윈도우 운영체제의 핵심인 윈도우 레지스트리에 저장된다. 문제는 좀 길다싶은 레지스트리 키를 잡아내는 보안 소프트웨어가 그리 많지 않다는 사실이다. 일부 안티바이러스와 안티 스파이웨어 제품은 레지스트리를 검색해 악성 프로그램을 찾아낼 수 있지만, 이 새로운 취약점을 이용하면 해커들이 자신들의 애플리케이션 존재를 숨길 수 있다고 보안업체인 스틸시큐어(StillSecure)는 전했다. 스틸시큐어의 CTO인 미첼 애슐리는 "보안 소프트웨어나 레지스트리 검색 도구에 의해 검색되지 않은 채, 시스템에 악성 프로그램을 숨겨두는데 사용될 수 있다"고 말했다. 스틸시큐어에 따르면 이의 탐지와 제거는 어렵거나 불가능할 수도 있다. 지난 목요일 인터넷에 대한 위협을 추적하는 SANS 인터넷 스톰 센터(Internet Storm Center, 이하 ISC)는 수집된 보고서에서 긴 레지스트리 키에 의해 기만당할 수 있는 일부 애플리케이션의 목록을 공개했다. 여기에는 애드어웨어(AdAware), MS의 윈도우 안티스파이웨어, 하이잭디스(HijackThis), 노턴 시스템웍스 2003 프로, MS의 윈도우 레지스트리 편집기, 윈닥터가 포함된다. SANS의 공동 경영자인 로버트 댄포드는 SANS ISC 웹 사이트에 "로컬 시스템 보안에 취약점이 있을 수 있다는 사실을 사용자가 알아야 한다. 사람들이 앞으로 몇 주간 나올 제품 업데이트에 유의하는 것이 정말 중요하다"고 적었다. 댄포드는 또한 스틸시큐어의 보안 경고 팀에서도 일한다. 긴 레지스트리 키는 반드시 의심가장 우려되는 것은 레지스트리에 존재하는 소위 ‘런(run)’ 키이다. 스틸시큐어의 애쉴리는 “이들 키는 윈도우 PC가 부팅할 때 애플리케이션을 시작하기 위해 사용된다. MS의 레지스트리 편집기 등 일부 인기도가 높은 보안 프로그램은 윈도우 레지스트리의 아주 긴 항목들을 탐지하지 못하지만 애플리케이션은 시작될 것”이라고 말했다. 그는 "스파이웨어 프로그래머가 이 기법을 이용해 당신의 컴퓨터에 키스트로크 로거를 숨기는 것은 매우 쉬울 것"이라고 말했다. MS 대변인은 MS가 현재 이 문제를 조사중이라고 지난 금요일 이메일로 알려왔다. MS는 해커가 먼저 시스템을 장악하지 못한다면 아무것도 숨기지 못한다고 지적했다. MS 대변인은 "이 문제를 악용한다고 해서 해커가 사용자 컴퓨터를 원격에서 혹은 로컬에서 공격할 수는 없다. 사실 해커는 이미 컴퓨터를 감염시켰거나 사용자를 속여 악성 소프트웨어를 수행시키도록 한다"라고 전했다. MS에 따르면 이 문제는 보안 취약점이 아니라 오용될 수 있는 운영체제 내부의 기능이다. MS는 이 문제를 활용해 소프트웨어를 숨기기 위해 사용되는 기법에 대해 알지 못한다고 전했다. 그러나 SANS는 "이 은닉 기법을 사용하는 맬웨어의 보고 가능성"이 탐지되고 있다고 밝혔다. SANS는 향후 몇 주간 소프트웨어 업체들이 이들 키를 보이도록 하는 패치를 개발할 것으로 기대한다고 전했다. 보안 모니터링 업체인 시큐니아는 윈도우 레지스트리 문제를 ‘심각하지 않다’ 전했다. 프랑스의 FSIRT(French Security Incident Response Team)팀도 ‘낮은 위험’ 등급으로 이를 분류했다. @