中해커, 윈도8서 DSE 우회 취약점 공개

윈도8 운영체제(OS)가 출시된 지 2주가 채 안 된 시점에서 64비트(x64) 드라이버 시그니처 인증을 우회하는 취약점이 중국 해커를 통해 최초로 공개됐다.

8일 서울 양재동 교육문화회관에서 개최된 '국제해킹보안컨퍼런스2012(POC2012)'에 참석한 중국 해커 쩡원빈㉕씨는 작년에 윈도7, 윈도 비스타 등에서 적용됐던 취약점이 윈도8에서도 비슷하게 적용된다고 밝혔다.

'MJ0011'이라는 별명으로 활동하고 있는 쩡원빈은 중국 최대 보안회사인 '360'에서 기술 매니저를 담당하고 있으며 악성코드 분석과 윈도 커널 취약점 등에 대해 7년동안 연구해왔다.

그가 밝힌 취약점은 윈도8에 사용되는 드라이버 시그니처 인포스먼트(DSE)의 인증을 우회하는 기술이다. DSE는 사용자가 PC를 구동하는데 필요한 드라이버를 설치할 때 필요한 인증이다. 만약 시그니처 인증을 받지 않은 경우에는 관리자 권한이 있더라도 마음대로 드라이버를 설치할 수 없다.

백신이 시그니처 데이터베이스(DB)로부터 악성파일 존재 유무를 탐지하는 것처럼 DSE 역시 설치하려는 드라이버가 취약성이 없는지 여부를 확인한 경우에만 윈도로부터 인증을 받아야만 설치할 수 있다는 것이다.

이러한 인증과정은 시만텍, 디지서트, 스타트콤 등에 연간 평균 500달러9약 5억 4천만원)의 비용을 지불해야만 드라이버가 신뢰할 수 있는지에 대해 마이크로소프트가 인증을 부여한다.

쩡원빈이 고안한 방법은 이러한 인증을 우회해 윈도8 OS에서 임시 드라이버를 설치하는 것이다. 쩡원빈씨에 따르면 이 취약점은 이미 2010년 MS에 'CVE-2010-4398'이라는 이름으로 보고됐었다.

당시 '중요(important)' 레벨로 분류됐던 이 취약점에 대해 MS는 2011년에는 보안패치를 발표하기도 했다. 그러나 쩡원빈은 여전히 윈도8에서도 비슷한 취약점을 이용할 수 있다고 설명했다.

관련기사

이는 MS의 보안패치정책과도 연관된다. 쩡원빈은 비용이 너무 많이 드는 탓에 MS가 취약점이 발견될 때마다 무조건 패치를 내놓지는 않는다라며 아주 핵심적인 이슈가 아니라면 한꺼번에 패치를 진행하거나 순차적으로 패치를 통해 보완해 간다고 설명했다.

윈도8에서 발견된 DSE 우회 취약점은 아직까지 추가적인 보안패치가 이뤄지지 않은 제로데이 취약점이다. 당장 해커들이 취약점을 활용해 악성공격을 감행해도 막을 방법이 나오지 않았다는 뜻이다.