V3 제로데이 취약점, 어떻게 하루 만에 패치했나

버그바운티서 취약점 제보…빠른 대응-보상 선순환이 핵심

컴퓨팅입력 :2017/11/30 07:58

손경호 기자

보안에 완벽한 프로그램이 없는 만큼 외부 보안 분석가가 아직 보안패치가 이뤄지지 않은 제로데이 취약점을 찾아내고 이를 해당 기업에 알려주는 대신 보상금을 받는 버그바운티의 중요성이 날로 커지고 있다.

이런 와중에 국내서 열린 버그바운티에 참여한 보안 연구원이 안랩 백신인 V3에서 작동하는 제로데이 취약점을 찾아내 제보하고, 이를 알게 된 안랩이 하루만에 취약점에 대한 대응을 완료하고 보상금을 지급한 사례가 나와 주목된다.

버그바운티는 기업이 자사에서 서비스 중인 운영체제(OS)나 소프트웨어, 애플리케이션 등에서 미처 발견하지 못했던 취약점을 사전에 알 수 있게 돕고, 블랙마켓 등을 통해 이런 취약점이 거래돼 악용되기 전에 조치를 취할 수 있다는 점에서 도움을 받을 수 있다.

최근 국내서 개최된 버그바운티인 제로페스트(Zer0Fest)에 참석한 보안회사 하임시큐리티 박서빈 선임연구원은 2주 간 분석한 끝에 안랩 V3 최신 버전에서 제로데이 취약점을 발견하는데 성공했다.

하임시큐리티 박서빈 선임연구원(왼쪽)이 버그바운티를 통해 V3에서 제로데이 취약점을 찾아내 제보했다.

28일 서울 강남 소재 하임시큐리티에서 개최된 시연에서 박 연구원은 최신 업데이트를 진행한 윈도10 64비트 운영체제(OS) 환경에서 최신 업데이트와 기본 사용자 설정이 적용된 안랩 V3 Lite에서 발견한 취약점에 대해 설명하는 자리를 가졌다.

박 연구원은 해커가 만든 웹페이지에 V3 Lite 사용자가 접속하기만하면 원격에서 해당 PC에 대한 접근 권한을 획득할 수 있는 버퍼오버플로 취약점을 소개했다.

버퍼오버플로는 프로그램이 동작하는 과정에서 특정 메모리 영역의 크기를 넘어서 쓰게 되면 다른 메모리 영역을 침범해서 해커가 원하는 메모리 조작을 가능케 하는 해킹기법이다.

시연에서 박 연구원은 해킹된 PC에서 웹캠으로 사용자를 훔쳐보거나 대상 PC에 파일을 만드는 등 조작이 가능하다는 점을 보여줬다. 실제 공격에 악용됐을 경우 악성 웹사이트에 방문하는 것만으로 사용자 PC의 시스템 권한이 장악될 가능성이 있는 것이다.

시연화면. V3 사용자가 악성 웹페이지에 접속하면 공격자가 원격에서 대상 PC에 대한 시스템 관리자 권한을 확보할 수 있다. 다만 이러한 취약점에 대해 안랩은 관련 내용이 공개된 29일 밤 8시50분께 엔진 업데이트를 완료했다.

다행스러운 점은 아직까지 이 같은 취약점이 악용된 사례는 발견되지 않았고, 안랩이 28일 해당 내용을 확인한 뒤 당일 밤8시50분께 백진 엔진 버전 업데이트를 진행했다는 사실이다.

안랩측은 "2017.11.29.11 이후 버전에서는 대응을 완료했다"며 "제품기능을 수정하는 수준의 패치는 아니었고, 엔진의 진단 코드를 업데이트하는 형태로 조치가 이뤄졌다"고 설명했다.

박서빈 연구원은 제로페스트를 통해 찾아낸 취약점에 대해 안랩으로부터 보상금을 지급 받을 에정이다.

전 세계 보안 분석가들 사이에 가장 유명한 버그바운티는 트렌드마이크로에 인수된 티핑포인트가 설립한 제로데이이니셔티브(ZDI)가 주최하는 '폰투오운(Pwn2Own)'이다.

최근에는 일본 도쿄에서 모바일 폰투오운 2017 대회가 개최되기도 했다.

관련기사

여기서는 구글, 마이크로소프트 등에 더해 애플, 삼성전자 등이 제조한 스마트폰 등을 대상으로 취약점 찾기 대회가 진행된다. 이를 통해 발견된 취약점은 버그바운티 참여의사를 밝힌 해당 회사에 전달돼 패치가 이뤄진다. 대신 어떤 경우에도 취약점에 대한 상세한 공격코드는 취약점이 발견된 서비스를 운영 중이 회사 이외에는 공개되지 않는 것을 원칙으로 한다.

국내서는 한국인터넷진흥원(KISA)이 SW 취약점 신고 포상제를 운영하고 있지만 아직까지 이러한 버그바운티를 장려하거나 이렇게 해서 찾아낸 취약점에 대해 기업이 직접 보상금을 지급하는 등 문화가 제대로 정착되지는 않고 있는 실정이다.