윈도 운영체제(OS)는 많은 버그가 있어 보안에 취약하다는 것이 일반적인 평가다. 그러나 마이크로소프트가 최근 출시한 윈도10 엣지 브라우저는 이전까지 수년 간 인터넷익스플로러(IE)에서 발견됐던 핵심 취약점을 막아내기위한 방법을 고안해 냈다는 점에서 과거와는 다른 모습이다.
MS가 지난 4월~6월까지 진행한 엣지 브라우저에 대한 버그바운티(취약점 포상제)에 이름을 올린 국내 보안연구원은 오히려 "유즈애프터프리(UAF) 취약점에 대해 MS가 준비를 많이 한 인상을 받았다"고 평가했다.
국내 보안회사 윈스 침해사고분석팀에서 근무 중인 정재훈 연구원은 아직 출시되기 전인 윈도10 테크니컬 프리뷰 버전에서 엣지 브라우저에서 취약점을 발견해 약 7천500달러 상금을 받게 됐다.
UAF는 웹브라우저가 사용하는 메모리 영역 중 사용하고 난 뒤 비어있는 곳에 악성코드를 집어넣어 공격자가 마음대로 해당 시스템을 조작할 수 있게 하는 취약점이다.
트렌드마이크로에 따르면 UAF 취약점은 수년째 MS가 골머리를 앓아왔던 핵심 취약점으로 꼽힌다. MS는 이러한 문제를 해결하기 위해 지난해 여름께 2가지 대응책을 세웠다. 먼저 '아이솔레이티드 힙(Isolated Heap)'이라 보안기능으로 웹브라우저를 통해 각종 HTML 문서를 호출하는 'DOM 오브젝트'와 이들을 지원하는 오브젝트를 관리한다. 쉽게 말하면 UAF를 악용한 취약점 공격에 노출되지 않도록 버그가 자주 발생했던 오브젝트를 따로 모아 집중관리하는 방법이다. 또 다른 대응책은 '메모리프로텍터'라는 보호기술을 적용하는 것이다.(관련링크)
정 연구원은 올해 초 인터넷익스플로러(IE)에서 취약점 자동 탐색툴(퍼징 기법)을 활용해 UAF 취약점이 적용된다는 사실을 확인한 뒤 이러한 취약점을 윈도10 테크니컬 프리뷰 상 엣지 브라우저에서도 실행될 수 있도록 수정해 적용해 본 결과, 아이솔레이티드 힙이라는 보안기능이 적용되는 환경에서도 실제로 문제를 일으킬 수 있다는 점을 알게 됐다. 이를 MS가 주최한 버그바운티에 신고해 약 7천500달러 상금을 탈 수 있었다는 설명이다.
어떤 OS나 웹브라우저, 애플리케이션도 취약점이 발견될 수 있는 만큼 더 중요한 것은 이렇게 발견된 내용에 대해 얼마나 빠르게 강력한 보완조치를 취할 수 있는가다.
정 연구원에 따르면 윈도10 테크니컬 프리뷰를 통해 엣지 브라우저를 사용할 때 발견된 이 취약점은 이후 버그를 수정해 정식 출시한 윈도10 엣지 브라우저에서는 적용되지 않는다고 말했다. 그만큼 버그바운티를 통해 발견한 취약점에 대해 빠르게 조치를 취했다는 뜻이다.
MS는 윈도10 정식 버전에서부터 'MemGC'라는 보완책을 적용했다. 메모리프로텍터의 후계자 격인 이 보안기술은 메모리 중 사용하고 난 뒤 빈 공간이 의도적으로 재사용되는 것을 막는 역할을 한다.(관련링크)
관련기사
- "보안연구, '덕후'스러워야 통한다"2015.11.03
- NTP 취약점, HTTPS 노린다2015.11.03
- iOS9.1 업데이트, 탈옥 등 49개 취약점 대응2015.11.03
- VoLTE 보안 취약점…결제액 조작 가능2015.11.03
정 연구원은 "MS가 메모리프로텍터나 MemGC와 같은 자체 제공하는 보안아키텍처의 취약점을 발견할 경우 10만달러 상당의 포상금을 지급하고 있다"고 말했다. 지난해 제로데이이니셔티브(ZDI)에 신고된 IE의 메모리프로텍터를 우회할 수 있는 취약점에 대해서 12만달러 상금이 지급된 바 있다. 그만큼 취약점에 대한 발견과 신속한 조치를 중요하게 생각한다는 뜻이다.
MS는 취약점을 완벽히 없앤다기보다는 취약점은 발견될 수밖에 없다는 가정 아래 이로 인한 피해를 최소화(mitigation) 시킬 수 있는 방법 찾기에 집중하는 전략을 취하고 있다. 국내서도 많은 취약점들이 발견되고 있는 애플리케이션 개발사들이 참고할만한 사항이다.