게임용 주변기기와 PC 등을 생산하는 제조사, 레이저(Razer)가 곤욕을 치렀다. PC에 게임용 마우스를 꽂으면 자동으로 설치되는 전용 소프트웨어 '시냅스'에 치명적인 보안 문제가 드러났기 때문이다.
시냅스 설치 과정에서 설치 폴더를 지정할 때 마우스 오른쪽 버튼을 클릭하고 명령 프롬프트를 관리자 권한으로 실행하면 아무런 제재 없이 파일 삭제나 복사가 가능하다.
이 문제를 처음 발견한 보안 전문가 '존햇'은 레이저에 이 사실을 알렸다. 그러나 아무런 답변을 받지 못하자 지난 21일 이 문제를 트위터에 공개했다. 레이저는 이 문제가 공론화된 23일에야 재발 방지를 약속했다.
■ 레이저가 베푼 작은 친절, 나비효과로 돌아와
대부분의 게임용 키보드·마우스는 PC에 꽂기만 하면 별도 프로그램 없이 잘 작동한다. 그러나 화려하게 반짝이는 LED 색상을 취향에 맞게 설정하거나 버튼의 기능을 바꾸고 감도를 조절하려면 반드시 제조사 전용 소프트웨어를 설치해야 한다.
보통 소비자들은 키보드나 마우스를 PC에 연결한 뒤에야 이런 소프트웨어를 설치한다. 미리 각종 소프트웨어를 받아 먼저 설치해 두는 사람은 극히 드물다.
레이저는 이런 소비자들을 위해 작은 친절을 베풀었다. 게임용 마우스를 PC에 꽂으면 윈도 운영체제가 전용 소프트웨어 '시냅스'를 자동으로 다운받게 한 것이다. 그러나 이런 친절이 오히려 보안 문제를 불러왔다.
■ 설치 과정에서 마우스 클릭 한 번으로 보안 우회
23일(미국 현지시간) 블리핑컴퓨터 등 미국 보안 전문 IT매체에 따르면, '존햇'이라는 이름으로 활동하는 보안 전문가가 이 과정에 문제가 있다는 것을 발견했다.
레이저가 생산한 게임용 마우스 본체, 혹은 무선 수신기(동글)를 PC에 연결하면 윈도 업데이트를 통해 시냅스 소프트웨어를 자동으로 다운받아 설치한다. 그런데 윈도 운영체제는 설치 과정에서 일반 이용자 권한이 아닌 '시스템'(system) 권한을 이용한다.
이용자가 시냅스 소프트웨어를 설치할 경로를 지정하는 순간부터 문제가 생긴다. 설치할 폴더를 지정하고 탐색기 창을 연 다음 명령 프롬프트를 관리자 관한으로 실행하려면 시스템 권한으로 모든 작업이 가능하다.
이 상태에서는 악성코드를 설치하거나 윈도 운영체제 파일을 아무런 제약 없이 바꿔치기 할 수 있다. 심지어 파일을 모두 삭제해 운영체제를 망가뜨릴 수도 있다.
■ 최신 게임용 마우스로 사람이 직접 실행 필요
이 문제가 작동하려면 두 가지 조건이 필요하다.
먼저 PC에 연결하면 자동으로 시냅스 소프트웨어를 불러오는 기능을 갖춘 제품이 있어야 한다. 지디넷코리아 확인 결과 2009년에 출시된 데스애더 3.5g 등 구형 제품에서는 문제가 발생하지 않았다.
또 명령 프롬프트를 열어서 파일을 지우는 등 작업은 사람이 직접 PC 앞에서 실행해야 한다. 여느 악성코드처럼 인터넷을 통해 외부에서 작업을 수행하는 것은 불가능하다. 다만 미리 악성코드를 설치해 두면 그 다음부터는 외부에서 PC를 충분히 제어할 수 있다.
인터넷에 연결된 PC에 마우스 하나만 꽂아서 운영체제 보안을 무력화할 수 있다는 것은 대단히 심각한 문제다. 이 문제를 지난 21일 처음 트위터로 공개한 존햇은 "레이저에 이 문제를 통보했지만 아무런 답을 받지 못해 공개했다"고 주장했다.
■ 레이저 "문제 해결 위해 노력 중"
레이저는 23일 각종 IT 매체를 통해 이 문제가 공론화되자 뒤늦게 존햇과 접촉한 것으로 보인다.
존햇은 23일 트위터를 통해 "레이저 내 보안 팀이 이 문제를 해결하기 위해 노력중인 것을 확인했다. 또 이 문제를 공개적으로 드러냈는데도 레이저가 보상금을 제공하기로 결정했다"고 설명했다.
관련기사
- 마이크로소프트, 윈도 보안 업데이트 긴급 배포2021.07.07
- 레이저 "스마트 RGB 마스크 출시"2021.03.29
- 금융사 ATM 5대 중 1대, 윈도7 사용…"보안 취약"2020.10.20
- 일본 암호화폐 거래소 해킹돼 1140억 도난2021.08.20
레이저는 "우리 소프트웨어 설치 과정 중 매우 특이한 방법으로 이용자의 PC에 폭넓게 접근할 수 있다는 사실을 확인했고 곧 업데이트를 내놓을 예정"이라고 밝혔다.
또 "해당 소프트웨어를 설치하고 사용한다고 해서 외부의 접근이 가능한 것은 아니며 보안 문제를 발견할 경우 현상금을 제공하는 '인스펙티브'를 통해 제보해 달라"고 덧붙였다.